OVH 多次联系我,询问我购买的专用服务器,他们说该服务器正在攻击其网络上的其他主机。第一次,由于配置错误,服务器是开放代理(我已使用 Apache 启用代理,但没有限制它),所以我重新安装了服务器并解决了问题(我是这样认为的)。
现在我已经第二次收到他们的邮件,说服务器又在攻击其他节点了,以下是他们提供给我的日志:
Attack detail : 1Mpps/537Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:41980 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
2022.10.31 02:34:14 CET XX.XX.XX.XX:34408 XXX.XXX.XXX.XXX:80 UDP --- 16384 1048576 ATTACK:UDP
这次您可以看到,服务器生成的攻击是基于 UDP 的,而上次的攻击是基于 TCP 的。而且这次甚至没有启用代理,那么我做错了什么?
对于配置(最后一次安装)的细节,我在 OVH 提供的模板中选择了 Debian 11 作为我的操作系统。除了 apache2 和 MariaDB 之外,我没有在其中安装任何不寻常的东西。
我已遵循以下教程:
对于正在运行的UDP服务,您可以找到以下netstat命令的结果:
user@host:~$ sudo netstat -nputwl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1271/mariadbd
tcp 0 0 0.0.0.0:89 0.0.0.0:* LISTEN 1197/sshd: /usr/sbi
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1683/exim4
tcp6 0 0 :::89 :::* LISTEN 1197/sshd: /usr/sbi
tcp6 0 0 ::1:25 :::* LISTEN 1683/exim4
udp 0 0 0.0.0.0:68 0.0.0.0:* 643/dhclient
udp 0 0 127.0.0.1:323 0.0.0.0:* 1174/chronyd
udp6 0 0 ::1:323 :::* 1174/chronyd
user@host:~$ sudo netstat -n --udp --listen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 127.0.0.1:323 0.0.0.0:*
udp6 0 0 ::1:323 :::*
当我启动 nethogs 时,我发现了大量未知的连接(这只是运行的前 10 秒,因为连接一直在不断涌来):
PID USER PROGRAM DEV SENT RECEIVED
? root XX.XX.XX.XX:80-AA.AA.AA.AA:44980 0.000 3.636 KB/sec
? root XX.XX.XX.XX:443-BB.BB.BB.BB:55541 0.063 0.077 KB/sec
? root XX.XX.XX.XX:32492-CC.CC.CC.CC:40709 0.000 0.012 KB/sec
? root XX.XX.XX.XX:13576-DD.DD.DD.DD:41831 0.000 0.012 KB/sec
? root XX.XX.XX.XX:31990-DD.DD.DD.DD:40709 0.000 0.012 KB/sec
? root XX.XX.XX.XX:50403-DD.DD.DD.DD:16234 0.000 0.012 KB/sec
? root XX.XX.XX.XX:50925-CC.CC.CC.CC:16234 0.000 0.012 KB/sec
? root XX.XX.XX.XX:14046-CC.CC.CC.CC:41831 0.000 0.000 KB/sec
? root XX.XX.XX.XX:50402-DD.DD.DD.DD:16234 0.000 0.000 KB/sec
? root XX.XX.XX.XX:32491-CC.CC.CC.CC:40709 0.000 0.000 KB/sec
? root XX.XX.XX.XX:31989-DD.DD.DD.DD:40709 0.000 0.000 KB/sec
? root XX.XX.XX.XX:13575-DD.DD.DD.DD:41831 0.000 0.000 KB/sec
? root XX.XX.XX.XX:50924-CC.CC.CC.CC:16234 0.000 0.000 KB/sec
? root XX.XX.XX.XX:50401-DD.DD.DD.DD:16234 0.000 0.000 KB/sec
? root XX.XX.XX.XX:14045-CC.CC.CC.CC:41831 0.000 0.000 KB/sec
? root XX.XX.XX.XX:32490-CC.CC.CC.CC:40709 0.000 0.000 KB/sec
? root XX.XX.XX.XX:31988-DD.DD.DD.DD:40709 0.000 0.000 KB/sec
? root XX.XX.XX.XX:50923-CC.CC.CC.CC:16234 0.000 0.000 KB/sec
? root XX.XX.XX.XX:13574-DD.DD.DD.DD:41831 0.000 0.000 KB/sec
? root XX.XX.XX.XX:111-EE.EE.EE.EE:8088 0.000 0.000 KB/sec
? root XX.XX.XX.XX:31987-DD.DD.DD.DD:40709 0.000 0.000 KB/sec
? root XX.XX.XX.XX:14044-CC.CC.CC.CC:41831 0.000 0.000 KB/sec
? root XX.XX.XX.XX:32489-CC.CC.CC.CC:40709 0.000 0.000 KB/sec
? root XX.XX.XX.XX:50400-DD.DD.DD.DD:16234 0.000 0.000 KB/sec
? root XX.XX.XX.XX:13573-DD.DD.DD.DD:41831 0.000 0.000 KB/sec
答案1
攻击是相对的,他们能量化“攻击”是什么吗?发送错误的数据包并不构成攻击。数据包数量和有效负载大小是一致的。由于您拥有服务器实例,因此您可以使用 wire shark 对离开服务器的数据进行数据包转储,并且很快就能缩小生成数据包的范围。使用像 nethogs 这样的工具也可以非常快速地找出问题,因为它会显示有问题的进程的 PID。
sudo apt install nethogs
然后只需在终端中运行“nethogs”并观察......