인바운드 트래픽이 매우 적고 아웃 바운드 트래픽이 많은 가능한 원인은 무엇입니까?


9

어제 Digital Ocean 서버는 공격처럼 보입니다. 아웃 바운드 트래픽은 갑자기 700Mbps로 증가한 반면 인바운드 트래픽은 약 0.1Mbps를 유지했으며 한 번도 증가하지 않았습니다. DoS를 수행한다고 가정하고 Digital Ocean이 서버를 네트워크에서 차단할 때까지 트래픽은 몇 분 동안 지속되었습니다 (이는 합리적 임).

두 가지 가정이 있습니다. 누군가가 우리 서버에 해킹 당했을 때 (내 동료가 비밀번호로 SSH 로그인을 활성화 한 것을 알게 된 공격 이후) 또는 내가 모르는 공격이 있습니다.

누구든지 나를 위해이 상황을 해결할 수 있습니까? 실제로 트래픽이 그렇게 보이는 일종의 DoS가 있다면, 저를 교육하십시오.



2
VestaCP를 실행중인 경우이 DigitalOcean 페이지를 확인 하십시오 .
Sevvlor

2
@Sevvlor 오 세상에. 동료가이 것을 서버에 설치했는지 전혀 몰랐습니다. 감사.
Krzysztof Kraszewski

또한 @JonasWielicki는 링크를 주셔서 감사합니다. 언젠가는 유용 할 것입니다.
Krzysztof Kraszewski

답변:


20

가능한 한 가지 가능성은 증폭 공격입니다. 예를 들어, 개방형 재귀 DNS 확인자를 실행중인 경우 (다른 프로토콜이 있지만이를 수행 할 수 있음) 스푸핑 된 IP 주소가있는 매우 작은 UDP 패킷을 수신 할 수 있습니다. 그런 다음 서버는 큰 응답을 생성하여 합법적 인 요청이라고 생각하여 피해자에게 보냅니다.

또 다른 가능성은 누군가가 네트워크에서 데이터를 유출하는 것입니다. 누군가 서버에 들어 와서 찾을 수있는 모든 바이트를 오프로드하는 경우에도 마찬가지입니다.

조사하지 않고 어떤 것이 있었는지 알 수있는 방법은 없으며, 무슨 일이 있었 든 증거가 남길 바라고 있습니다. 후자 인 경우 (압출) 아마도 최선을 다해 트랙을 비운 것 같습니다.


1
감사. 나는 DO와 함께 핵심 반응을 보이고 있으며, 그들이 무슨 일이 일어나고 있는지 알 수 있기를 바랍니다. 내 조사에 따르면 누군가 SSH를 통해 서버에 액세스했을 가능성이 있습니다. 다른 답변도 매우 유용하지만 내 질문에 대답하는 것이 가장 정확하므로 귀하의 답변을 수락합니다.
Krzysztof Kraszewski

2
@KrzysztofKraszewski 당신의 동료가 진짜 두뇌 암호를 사용하지 않는 한, SSH는 나에게 아마도 후보처럼 보이지 않을 것입니다. 원격 무차별 강제 실행은 매우 느리고 시끄 럽습니다.

서버가 손상된 경우 증폭 공격은 거의 없을 것 같습니다. 서버를 근절했을 때 그러한 사소한 공격으로 귀찮게하는 이유는 무엇입니까? 그리고 뇌 암호는 매우 일반적입니다.
Phil Frost

1
@PhilFrost 증폭 공격에 대해 언급 한 요점은 OP가 다른 방식으로 사용 중이고 서버가 손상 되지 않은 다른 것을 실행할 수 있다는 것입니다 . DNS가 가장 일반적이지만, 이런 방식으로 남용 될 수있는 MOTD 및 기타 이상한 오래된 프로토콜도 있습니다. 이상한 트래픽 패턴에 맞는 솔루션 중 하나입니다.
Mark Henderson


10

나는 증폭 공격의 가능성에 동의합니다. 이를 처리하는 가장 간단한 방법은 DigitalOcean의 무료 클라우드 방화벽을 사용하는 것 입니다.

SSH, HTTP 및 HTTPS 인바운드 만 허용하십시오. 가능하면 신뢰할 수있는 IP의 SSH 만 허용하십시오.

VM의 방화벽을 사용 하여이 작업을 수행 할 수 있으며 DO의 솔루션이 훨씬 쉽습니다.


팁을 주셔서 감사합니다. 서버를 보호하는 데 시간이 조금 걸립니다.
Krzysztof Kraszewski

5

Digital Ocean에 문의하십시오. 아웃 바운드 트래픽이 많기 때문에 서버를 종료하지 않습니다. 대부분의 서버가 종료됩니다. 예를 들어, 인기있는 것을 호스팅하는 웹 서버.

오히려 트래픽의 특성이 악의적으로 보이므로 서버를 종료합니다. 따라서 그들은 무엇인지 알 것입니다.

그렇지 않으면 스스로 조사해야합니다. 호스트가 여전히 실행중인 경우 여전히 Digital Ocean에 의해 삭제되는 트래픽을 보내려고합니다. 이 경우 패킷 덤프로이를 관찰 할 수 있습니다. 또는 시스템 로그에서 힌트를 찾을 수 있습니다. 불행히도 수백만 가지가 될 수 있으므로 그러한 조사가없는 근본적인 원인에 대한 추측은 쓸모가 없습니다.


Mike M의 답변에서 내 의견을 확인하십시오. 누군가 우리 서버에 액세스하여 공격을 수행하는 데 사용 된 것 같습니다. 답변 주셔서 감사합니다.
Krzysztof Kraszewski
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.