Kemarin server Digital Ocean kami menemukan sesuatu yang tampak seperti serangan. Lalu lintas keluar tiba-tiba meningkat menjadi 700Mbps, sementara lalu lintas masuk tetap sekitar 0,1Mbps, dan tidak bertambah sekali pun. Lalu lintas berlangsung selama beberapa menit sampai Digital Ocean memotong server kami dari jaringan dengan asumsi kami melakukan DoS (yang masuk akal).
Saya memiliki dua asumsi: apakah seseorang meretas server kami (setelah serangan saya menyadari bahwa kolega saya telah mengaktifkan SSH login dengan kata sandi) atau ada semacam serangan yang tidak saya ketahui.
Adakah yang bisa membersihkan situasi ini untuk saya? Jika memang ada semacam DoS yang lalu lintasnya terlihat seperti itu, tolong beri tahu saya.
security
denial-of-service
Krzysztof Kraszewski
sumber
sumber
Jawaban:
Satu kemungkinan kemungkinan adalah serangan amplifikasi. Jika Anda menjalankan resolver DNS rekursif terbuka (ada protokol lain yang dapat Anda lakukan dengan ini), misalnya, Anda dapat menerima paket UDP yang sangat kecil yang memiliki alamat IP palsu. Server Anda kemudian menghasilkan respons besar dan mengirimkannya ke korban, berpikir bahwa itu adalah permintaan yang sah.
Kemungkinan lain adalah seseorang melakukan exfiltrating data dari jaringan Anda. Jika seseorang masuk ke server Anda dan sedang membongkar setiap byte yang dapat mereka temukan, itu akan terlihat seperti itu juga.
Tidak ada cara untuk mengetahui yang mana itu tanpa melakukan penyelidikan, dan berharap bahwa apa pun yang terjadi meninggalkan bukti. Jika yang terakhir (pengelupasan) maka mereka mungkin membersihkan jejak mereka sebaik mungkin.
sumber
Saya setuju dengan kemungkinan serangan amplifikasi. Cara paling sederhana untuk menangani ini adalah dengan menggunakan firewall cloud gratis DigitalOcean .
Hanya izinkan SSH, HTTP, dan HTTPS masuk. Jika memungkinkan, hanya izinkan SSH dari IP tepercaya Anda.
Anda dapat melakukan ini menggunakan firewall pada VM Anda, solusi DO hanya lebih mudah.
sumber
Anda harus bertanya pada Digital Ocean. Mereka tidak mematikan server hanya untuk lalu lintas keluar yang tinggi: itu akan mematikan sebagian besar server. Sebagai contoh, server web hosting sesuatu yang populer.
Sebaliknya, mereka mematikan server Anda karena sifat lalu lintas Anda terlihat berbahaya. Karena itu, mereka mungkin tahu apa itu.
Kalau tidak, Anda harus menyelidiki sendiri. Mungkin jika tuan rumah masih berjalan itu masih berusaha untuk mengirim lalu lintas yang dijatuhkan oleh Digital Ocean. Dalam hal ini Anda akan dapat mengamatinya dengan paket dump. Atau Anda mungkin dapat menemukan petunjuk di log sistem. Sayangnya, itu bisa berupa sejuta hal, jadi berspekulasi tentang penyebab yang mendasari absennya penyelidikan semacam itu sia-sia.
sumber