SSH 10 घंटे में 4GB नाली पर हमला करता है। मुमकिन?

10

मुझे चेतावनी दी गई है कि मेरे सर्वर ने अपनी स्थानांतरण सीमा को तोड़ दिया है। मुझे लगता है कि मेरा टो नोड लोकप्रिय हो गया है इसलिए मैंने इसे इस महीने को अक्षम करने के लिए चुना (समुदाय के लिए सबसे अच्छा विकल्प नहीं है लेकिन मुझे नीचे जाने की आवश्यकता है)। तब मैंने देखा कि इस रात सर्वर 4GB के आसपास स्थानांतरित हो गया। मैंने अवास्ट के साथ अपाचे लॉग की जांच की है, कोई प्रासंगिक ट्रैफ़िक नहीं है (और मैं वहां इतनी लोकप्रिय साइटों की मेजबानी नहीं करता हूं)। मैंने मेल लॉग चेक किए हैं, किसी ने कचरा भेजने की कोशिश नहीं की। मैंने messagesलॉग की जाँच की है और इनमें से टन पाए हैं

Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156

हर कुछ सेकंड में एक बीओटी मेरे एसएसएच को हैक करने की कोशिश कर रहा है, जो असंभव है क्योंकि मुझे पबकी प्रमाणीकरण की आवश्यकता है। मेरा प्रश्न है: क्या इस ट्रैफ़िक में, इस आवृत्ति पर, १० घंटे के निरंतर हमले में ४ जीबी (मान लें कि ३.५) की खपत हो सकती है?

मैंने अपने SSH पोर्ट को बदल दिया है और इन हमलों को रोक दिया है, लेकिन मैं अपने नेटवर्क की खपत के बारे में अनिश्चित हूं। मेरे पास नियंत्रण से बाहर चलने वाली सेवाएं नहीं हैं-मेरा फ़ायरवॉल थोड़े प्रतिबंधक है- या सर्वर को किसी के साथ अपमानजनक रूप से P2P या जो भी करें साझा करें। मेरी चिंता 400GB / माह से नीचे जाने की है।

कोई सुझाव?

linux  bandwidth-control 
usr स्थानीय-ΕΨΗΕΛΩΝ
स्रोत

जवाबों:

16

4 जीबी संभव है, लेकिन हमले की दर को देखते हुए बहुत संभावना नहीं है। मैं OSSEC स्थापित करने का सुझाव देता हूं, यह प्रयासों में ब्रेक का पता लगाता है और निश्चित समय के लिए आईपी को स्वचालित रूप से ब्लॉक कर देता है।

लुकास कॉफ़मैन
स्रोत
1
मेरे पास पहले से ही विफल 2ban है, इसने खराब लॉगिन को सफलतापूर्वक अवरुद्ध कर दिया है लेकिन इन संदेशों को अनदेखा करता है। शायद मैं इसे धुन दूंगा।
usr-local-
1
स्वीकार किए जाते हैं। Fail2ban को उस लॉग संदेश को ब्रेक-इन प्रयासों के रूप में स्वीकार करने के लिए कुछ ट्यूनिंग की आवश्यकता थी। +1 से @ लियन भी क्योंकि मैं 2 उत्तर स्वीकार नहीं कर सकता
usr-local-'Apr
@djechelon: कृपया हमें बताएं कि यह समस्या का समाधान करता है। किसी तरह मुझे संदेह है कि आपके सिस्टम पर पहुंचने के बाद पैकेट को गिरा दिया जाएगा।
user9517
@ सबसे हमलावरों को छोड़ दिया जब वे गिरा रहे हैं।
लुकास कॉफ़मैन
3
@ लुकासकॉफ़मैन: 4 जीबी / 10 ग्राफ़ ~ 120 केबी / सेकंड है। मैं नहीं देखता कि वहाँ असफल प्रयासों से बहुत थ्रूपुट है और ऊपर वाला स्निपेट बहुत कम हमले दर (26 ~ 7 मिनट) में दिखाता है।
15:95 बजे user9517
14

यदि ये बैंडविड्थ उपयोग का कारण हैं तो आपके सिस्टम पर आपके द्वारा इनसे निपटने के समय बैंडविड्थ पहले ही भस्म हो जाती है। आप प्रत्येक इंटरफ़ेस / पोर्ट पर क्या हो रहा है, इसका ब्रेकडाउन देने के लिए आप iptraf जैसे टूल का उपयोग कर सकते हैं और फिर आप तथ्यों के आधार पर उचित कार्रवाई कर सकते हैं।

user9517
स्रोत
जाहिर है कि मैं भविष्य में बैंडविड्थ की खपत को रोकने के लिए अपने प्रयास लगा सकता हूं, जो आगामी महीने से शुरू होगा
usr-local-at
1
और ... बहुत उपयोगी जवाब है, लेकिन iptraf OpenVZ (संदर्भ webhostingtalk.com/showthread.php?t=924814 ) के साथ काम नहीं करता है और मैंने इसका उल्लेख नहीं किया :)
usr-local-
मूल विचार वही रहता है। कुछ ऐसा ढूंढें जो आपको बताएगा कि उपयोग कहां है और फिर समस्या का समाधान करें। और कुछ भी अनुमान नहीं है।
user9517
4

नहीं, ये एक बार प्रति सेकंड कनेक्शन स्वयं प्रयास करने पर दस घंटे में 4GB तक नहीं जुड़ेंगे। क्या आपको लगता है कि आप एक सेकंड में एक बार एक छोटा पैकेट प्राप्त करके 10 घंटों में 4GB फ़ाइल डाउनलोड कर सकते हैं? एक घंटे में 3600 सेकंड होते हैं, इसलिए यदि आप किलोबाइट को दस घंटे के लिए दूसरा पाते हैं, तो वह 36000 Kb, या 36 मेगाबाइट होगा।

आपका बैंडविड्थ आपके प्रदाता से आपके बाहरी राउटर तक जाने वाले पाइप के अनुसार मापा जाता है, न कि आपके सर्वर तक पहुंचता है। आपको उस बकवास को देखना होगा जो आपके सर्वर तक नहीं पहुंच रहा है, उपकरण का सबसे बाहरी टुकड़ा अस्वीकार कर रहा है।

जहां तक ​​आपके सर्वर तक पहुंचने की बात है, आप एप्लिकेशन लॉग पर भरोसा नहीं कर सकते। यहां तक ​​कि स्थानीय फ़ायरवॉल द्वारा चुपचाप गिराए जाने वाले पैकेट भी बैंडविड्थ हैं। इंटरफ़ेस आँकड़े (द्वारा दिखाए गए ifconfig) आपको Tx / Rx बाइट्स बताएंगे।

Kaz
स्रोत
निश्चित नहीं। मेरे दृष्टिकोण से, लॉग संदेश दिखाते हैं कि क्लाइंट ने पोर्ट 22 को एक सॉकेट खोला, लेकिन इसे अस्वीकार कर दिया गया क्योंकि "जो उन्होंने प्रेषित किया" उसे उचित एसएसएच हैंडशेक के रूप में मान्यता नहीं दी गई थी। मैं स्कैनर को भेजे गए वास्तविक पेलोड को देखने के लिए पोर्ट 22 को वायरटैप करना नहीं चाहता था, लेकिन सिद्धांत रूप में वे एसएसएच ड्रॉप होने तक टन कचरा भेज सकते थे। सवाल यह है: जब ओपनएसएसएच एक अमान्य हैंडशेक छोड़ता है? दूसरा, मैंने तोर विकलांगों के साथ एक रात बिताई और ट्रैफ़िक अभी भी बढ़ा (अपाचे ने महत्वपूर्ण ट्रैफ़िक नहीं दिखाया), जब पुन: कॉन्फ़िगर किया गया
विफल 2 ऑन
1
मुझे थोड़ा रेफ़रेस करें, बस मामले में। अगर मैं एक सर्वर से 4GB बैंडविड्थ को खत्म करना चाहता था तो मैं एक बॉटनेट बना सकता था जो HTTP कनेक्शन खोलता है और प्रत्येक अनुरोध के लिए असीमित POST पेलोड भेजता है। लॉग दिखाएगा कि विफल अनुरोध कम दरों के साथ होते हैं, लेकिन प्रत्येक बहुत भारी है। लेकिन इससे समझदारी खोने लगती है। मैं एसएसएच स्कैन ("रूट, एडमिन ... के लिए विफल प्रमाणीकरण) से परिचित रहा हूं, क्योंकि उनका उद्देश्य नोड पर नियंत्रण रखना है। एसएसएच के माध्यम से एक हमलावर को नाली की निकासी क्यों होगी? समझ में नहीं आता है। जब तक किसी को टोर नोड्स से नफरत नहीं होती ...
usr-local-'Apr
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.