인바운드 트래픽이 매우 적고 아웃 바운드 트래픽이 많은 가능한 원인은 무엇입니까?

어제 Digital Ocean 서버는 공격처럼 보입니다. 아웃 바운드 트래픽은 갑자기 700Mbps로 증가한 반면 인바운드 트래픽은 약 0.1Mbps를 유지했으며 한 번도 증가하지 않았습니다. DoS를 수행한다고 가정하고 Digital Ocean이 서버를 네트워크에서 차단할 때까지 트래픽은 몇 분 동안 지속되었습니다 (이는 합리적 임).

두 가지 가정이 있습니다. 누군가가 우리 서버에 해킹 당했을 때 (내 동료가 비밀번호로 SSH 로그인을 활성화 한 것을 알게 된 공격 이후) 또는 내가 모르는 공격이 있습니다.

누구든지 나를 위해이 상황을 해결할 수 있습니까? 실제로 트래픽이 그렇게 보이는 일종의 DoS가 있다면, 저를 교육하십시오.

가능한 한 가지 가능성은 증폭 공격입니다. 예를 들어, 개방형 재귀 DNS 확인자를 실행중인 경우 (다른 프로토콜이 있지만이를 수행 할 수 있음) 스푸핑 된 IP 주소가있는 매우 작은 UDP 패킷을 수신 할 수 있습니다. 그런 다음 서버는 큰 응답을 생성하여 합법적 인 요청이라고 생각하여 피해자에게 보냅니다.

또 다른 가능성은 누군가가 네트워크에서 데이터를 유출하는 것입니다. 누군가 서버에 들어 와서 찾을 수있는 모든 바이트를 오프로드하는 경우에도 마찬가지입니다.

조사하지 않고 어떤 것이 있었는지 알 수있는 방법은 없으며, 무슨 일이 있었 든 증거가 남길 바라고 있습니다. 후자 인 경우 (압출) 아마도 최선을 다해 트랙을 비운 것 같습니다.

나는 증폭 공격의 가능성에 동의합니다. 이를 처리하는 가장 간단한 방법은 DigitalOcean의 무료 클라우드 방화벽을 사용하는 것 입니다.

SSH, HTTP 및 HTTPS 인바운드 만 허용하십시오. 가능하면 신뢰할 수있는 IP의 SSH 만 허용하십시오.

VM의 방화벽을 사용 하여이 작업을 수행 할 수 있으며 DO의 솔루션이 훨씬 쉽습니다.

Digital Ocean에 문의하십시오. 아웃 바운드 트래픽이 많기 때문에 서버를 종료하지 않습니다. 대부분의 서버가 종료됩니다. 예를 들어, 인기있는 것을 호스팅하는 웹 서버.

오히려 트래픽의 특성이 악의적으로 보이므로 서버를 종료합니다. 따라서 그들은 무엇인지 알 것입니다.

그렇지 않으면 스스로 조사해야합니다. 호스트가 여전히 실행중인 경우 여전히 Digital Ocean에 의해 삭제되는 트래픽을 보내려고합니다. 이 경우 패킷 덤프로이를 관찰 할 수 있습니다. 또는 시스템 로그에서 힌트를 찾을 수 있습니다. 불행히도 수백만 가지가 될 수 있으므로 그러한 조사가없는 근본적인 원인에 대한 추측은 쓸모가 없습니다.