从我们的服务器发起的出站 DDOS 攻击

从我们的服务器发起的出站 DDOS 攻击

我们运行邮件服务器 (postfix/dovecot/centos 6.4)。硬件基于具有 IPMI 功能的超微机箱。

它还运行用于访问邮件的 Web 界面(Apache Web 服务器)

最近我们的 DC 说我们正在发送出站 DDOS 攻击,据他们说,攻击速度高达 1.3Gbps。他们禁用了该 IP。在我们提出请求后,他们又重新激活了该 IP。

现在我们正在定期监控服务器,发现出站流量异常,平均速率为 2mbps(我们发送的电子邮件并不多),每 30 分钟后峰值可达 30mbps。(根据 New Relic Monitor 的数据)

提供商说我们可能正在运行 DDOS 反射攻击。服务器登录是安全的,身份验证日志没有显示任何异常

我们没有运行任何 DNS 服务器。此外,NTP 以客户端模式运行,并且是安全的。

nettop、iptraffic、nethogs 显示一切正常,只有 ifconfig 中的传输和接收流量摘要显示发送的数据量很大。

另外,我们还禁用了 IPMI 上的 NTP 客户端,因为我读到超微 IPMI 容易受到 NTP 反射 DDOS 的攻击。

我现在毫无头绪,正在向这里的专家寻求帮助。如能提供帮助,我将不胜感激!

答案1

将您的 IPMI 固件升级到最新版本。看起来问题不在于您的操作系统,而在于易受攻击的 IPMI 卡。

您没有告诉我们它是哪种型号的 IPMI/Chasis,但在最新 Super Micro 固件列表没有 1.07 版本,因此必须是较新的版本。

相关内容