好的,这里有一些信息:Fedora23 在 Windows 7 主机上的 VirtualBox 中运行。
面向公众的路由器没有 DMZ,但端口转发从 2325(外部)到 1194(内部)以及内部静态 IP。
运行时iftop,我收到了大量的传入/传出流量(50-70 mbps):
revolve-mainframe => 104.23.119.177 54.6Mb 35.4Mb 8.84Mb
<= 0b 0b 0b
revolve-mainframe => v.pr.h.cpvps.us 0b 643b 210b
不用说,这会拖慢我们办公室的互联网。
运行以下命令来阻止 IP 可修复此问题:
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject
[root@revolve-mainframe sysconfig]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default gateway 0.0.0.0 UG 0 0 0 enp0s8
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
104.23.118.177 - 255.255.255.255 !H - - - -
104.23.119.177 - 255.255.255.255 !H - - - -
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s8
192.168.56.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s3
现在的问题是,这是 DDoS 攻击的结果吗?如果我解除对这两个 IP 的封锁,我会收到来自各种不同 IP 地址的大量传入数据包。
但我只需阻止两个特定的 IP 地址即可阻止洪流。
或者我的服务器已经被入侵并被用作 DDoS 源?
或者...?
答案1
我目前看到两种可能性,
1) 我们办公室的 IP 地址(由可爱的康卡斯特提供的静态 IP)在某些 DDoS/DoS 攻击者的已知目标列表中。
2)服务器已被入侵并被用来对其他人进行 DoS 攻击。
或两者。
无论如何,我现在要做的补救措施是从 Amazon EC2 上的裸实例完全重建服务器堆栈。如果我们办公室的物理服务器受到攻击,那么新的云堆栈将解决这个问题。
运行云实例还能让我轻松地获得一个新的静态 IP,如果我想对我们办公室自己的 WAN 静态 IP 执行同样的事情,那么对于康卡斯特来说这将是一场客户服务噩梦。
更进一步,我可以为我的云配置 IP 分配一个域名,并使用 Cloudflare 之类的服务来屏蔽和阻止 DDoS 攻击,如果我出于某种原因想要公开我的云服务器的地址。但是,在 4 个面向公众的 Amazon EC2 服务器中,还没有一个成为攻击的受害者,这可能甚至没有必要(除非我们的公司成为更大的目标)。