昨天,我们的 Digital Ocean 服务器遭遇了类似攻击的情况。出站流量突然增加到 700Mbps,而入站流量保持在 0.1Mbps 左右,没有增加过一次。流量持续了几分钟,直到 Digital Ocean 认为我们正在执行 DoS(这是合理的)才切断了我们服务器的网络。
我有两个假设:要么有人入侵了我们的服务器(攻击之后我意识到我的同事已经启用了使用密码的 SSH 登录)要么存在某种我不知道的攻击。
有人能帮我解释一下这种情况吗?如果确实存在一种流量看起来像这样的 DoS,请告诉我。
答案1
一种可能的情况是放大攻击。例如,如果您正在运行开放递归 DNS 解析器(尽管还有其他协议可以执行此操作),您可能会收到一个包含伪造 IP 地址的非常小的 UDP 数据包。然后,您的服务器会生成一个较大的响应并将其发送给受害者,认为这是一个合法请求。
另一种可能性是有人从你的网络窃取数据。如果有人进入你的服务器并卸载他们能找到的每个字节,情况看起来也是如此。
如果不进行调查,就无法知道是哪一次,并且希望无论发生什么都会留下证据。如果是后者(外泄),那么他们可能已经尽其所能清除了踪迹。
答案2
我同意存在放大攻击的可能性。处理此问题最简单的方法是使用DigitalOcean 的免费云防火墙。
仅允许 SSH、HTTP 和 HTTPS 入站。如果可能,仅允许来自受信任 IP 的 SSH。
您可以使用 VM 上的防火墙来执行此操作,DO 的解决方案更简单。
答案3
你应该问问 Digital Ocean。他们不会因为高出站流量而关闭服务器:那样的话大多数服务器都会被关闭。例如,托管一些热门内容的网络服务器。
相反,他们关闭了你的服务器,因为你的流量看起来是恶意的。因此,他们可能知道那是什么。
否则,您必须自己进行调查。如果主机仍在运行,它可能会尝试发送被 Digital Ocean 丢弃的流量。在这种情况下,您可以通过数据包转储来观察它。或者您可能能够在系统日志中找到线索。不幸的是,这可能是一百万种原因中的任何一种,因此,在没有进行此类调查的情况下推测根本原因是徒劳的。