बेहद कम आवक यातायात और उच्च आउटबाउंड यातायात के लिए संभावित कारण क्या है?

9

कल हमारे डिजिटल महासागर सर्वर का सामना कुछ ऐसा हुआ जो एक हमले की तरह लग रहा था। इनबाउंड ट्रैफ़िक अचानक बढ़कर 700Mbps हो गया, जबकि इनबाउंड ट्रैफ़िक लगभग 0.1Mbps रहा, और एक बार भी नहीं बढ़ा। जब तक डिजिटल महासागर हमारे सर्वर को काट कर यह मान लेता है कि हम एक DoS (जो वाजिब है) प्रदर्शन कर रहे हैं, तब तक ट्रैफ़िक कई मिनट तक चला।

मेरी दो धारणाएं हैं: या तो किसी ने हमारे सर्वर में हैक किया (हमले के बाद मुझे एहसास हुआ कि मेरे सहयोगी ने पासवर्ड के साथ एसएसएच लॉगिन को सक्षम किया था) या किसी प्रकार का हमला है जिसके बारे में मुझे जानकारी नहीं है।

क्या कोई मेरे लिए इस स्थिति को साफ कर सकता है? यदि वास्तव में एक प्रकार का DoS है जो ट्रैफ़िक जैसा दिखता है, तो कृपया मुझे शिक्षित करें।

security  denial-of-service 
क्रिज़्सटॉफ़ क्रॉस्ज़ेव्स्की
स्रोत
1
जोनास श्फर
2
यदि आप VestaCP चला रहे हैं, तो कृपया इस DigitalOcean पृष्ठ को देखना सुनिश्चित करें ।
सेवेलर
2
@ शेव्लोर हे भगवान। मुझे नहीं पता था कि मेरे सहयोगी ने हमारे सर्वर पर यह बात स्थापित की है। धन्यवाद।
Krzysztof Kraszewski
इसके अलावा @JonasWielicki लिंक के लिए धन्यवाद, यह किसी दिन खुद को उपयोगी साबित करेगा।
Krzysztof Kraszewski

जवाबों:

20

एक संभावित संभावना एक प्रवर्धन हमला है। यदि आप एक खुली पुनरावर्ती DNS रिज़ॉल्वर चला रहे हैं (ऐसे अन्य प्रोटोकॉल हैं जो आप इसके साथ कर सकते हैं), उदाहरण के लिए, आप एक बहुत छोटा यूडीपी पैकेट प्राप्त कर सकते हैं जिसमें एक स्पूफ आईपी पता है। आपका सर्वर तब एक बड़ी प्रतिक्रिया उत्पन्न करता है और पीड़ित को भेजता है, यह सोचकर कि यह एक वैध अनुरोध है।

एक और संभावना यह है कि कोई आपके नेटवर्क से डेटा को हटा रहा था। यदि कोई आपके सर्वर में आ गया है और हर बाइट को उतार रहा है तो वे उसे ढूंढ सकते हैं।

यह पता करने का कोई तरीका नहीं है कि यह जांच किए बिना कौन सा था, और यह उम्मीद करता था कि जो कुछ भी हुआ वह बाएं सबूत है। यदि यह बाद का है (एक्सफिलिएशन) तो उन्होंने शायद अपनी पटरियों को सबसे अच्छा के रूप में साफ किया।

मार्क हेंडरसन
स्रोत
1
धन्यवाद। मैं डीओ के साथ सहसंबंध में हूं, उम्मीद है कि उन्हें इस बात का अंदाजा होगा कि क्या चल रहा था। मेरी जांच के अनुसार, यह संभव है कि किसी ने हमारे सर्वर तक एसएसएच के माध्यम से पहुंच प्राप्त की हो। मैं आपके उत्तर को स्वीकार कर रहा हूँ क्योंकि यह मेरे प्रश्न का उत्तर देने में सबसे सटीक है, हालाँकि अन्य उत्तर भी बहुत उपयोगी हैं।
Krzysztof Kraszewski
2
@KrzysztofKraszewski जब तक आपका सहकर्मी है / वास्तव में बहुत साहसी पासवर्ड का उपयोग कर रहा था, SSH मेरे लिए एक संभावित उम्मीदवार की तरह प्रतीत नहीं होगा। रिमोट ब्रूट-फोर्सिंग बहुत धीमा और शोर है।
विल
यदि सर्वर से छेड़छाड़ की गई थी, तो एक प्रवर्धन हमले की संभावना बहुत कम है। जब आप सर्वर को रूट करते हैं तो इस तरह के तुच्छ हमले से क्यों परेशान होते हैं? और braindead पासवर्ड उल्लेखनीय रूप से सामान्य हैं।
फिल फ्रॉस्ट
1
@PhilFrost एम्प्लीफिकेशन हमले का उल्लेख करते हुए बिंदु यह था कि यह संभव है कि ओपी कुछ और चला रहा है जो उस तरह से उपयोग किया जा रहा है और सर्वर से समझौता नहीं किया गया है। DNS सबसे आम है, लेकिन वहाँ भी MOTD और अन्य अजीब पुराने प्रोटोकॉल हैं जो इस तरह से दुरुपयोग किए जा सकते हैं। यह एक संभव समाधान है जो अजीब ट्रैफिक पैटर्न को फिट करता है।
मार्क हेंडरसन
3
मेमकाटेड
10

मैं एक प्रवर्धन हमले की संभावना से सहमत हूं। इसे संभालने का सबसे सरल तरीका है DigitalOcean का मुफ्त क्लाउड फ़ायरवॉल का उपयोग करना

केवल SSH, HTTP और HTTPS इनबाउंड की अनुमति दें। यदि संभव हो, तो केवल एसएसएच को अपने विश्वसनीय आईपी से अनुमति दें।

आप अपने वीएम पर फ़ायरवॉल का उपयोग करके ऐसा कर सकते हैं, डीओ का समाधान बस आसान है।

माइक एम
स्रोत
टिप के लिए धन्यवाद, मैं कुछ समय हमारे सर्वरों को सुरक्षित करने में बिताऊंगा (जैसा कि मुझे थोड़ी देर पहले करना चाहिए)।
Krzysztof Kraszewski
5

आपको डिजिटल ओशन पूछना चाहिए। वे केवल उच्च आउटबाउंड ट्रैफ़िक के लिए सर्वर बंद नहीं करते हैं: जो अधिकांश सर्वरों को बंद कर देगा। उदाहरण के लिए, एक वेबसर्वर कुछ लोकप्रिय होस्टिंग।

बल्कि, वे आपके सर्वर को बंद कर देते हैं क्योंकि आपके ट्रैफ़िक की प्रकृति दुर्भावनापूर्ण दिखती है। जैसे, वे शायद कुछ विचार है कि यह क्या था।

अन्यथा आपको खुद की जांच करनी होगी। शायद अगर मेजबान अभी भी चल रहा है तो वह अभी भी ट्रैफ़िक भेजने का प्रयास कर रहा है जिसे डिजिटल महासागर द्वारा गिराया जा रहा है। उस स्थिति में आप इसे एक पैकेट डंप के साथ देख पाएंगे। या आप सिस्टम लॉग में सुराग ढूंढने में सक्षम हो सकते हैं। यह दुर्भाग्य से एक लाख चीजों में से कोई भी हो सकता है, इसलिए इस तरह की जांच अनुपस्थित होने के अंतर्निहित कारण पर अटकल लगाना निरर्थक है।

फिल फ्रॉस्ट
स्रोत
माइक एम के जवाब के तहत मेरी टिप्पणी देखें। ऐसा लगता है कि किसी ने हमारे सर्वर तक पहुंच बनाई और इसका इस्तेमाल किसी हमले को करने के लिए किया। आपके उत्तर के लिए धन्यवाद।
Krzysztof Kraszewski
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.