Я под DDoS атакой?

549
heisian

Итак, вот некоторая информация: Fedora23 работает в VirtualBox на хосте Windows 7.

Открытый маршрутизатор не имеет DMZ, но переадресация портов с 2325 (внешний) на 1194 (внутренний) и внутренний статический IP.

Работая iftop, я получаю огромное количество входящего / исходящего трафика (50-70 Мбит / с):

revolve-mainframe => 104.23.119.177 54.6Mb 35.4Mb 8.84Mb <= 0b 0b 0b revolve-mainframe => v.pr.h.cpvps.us 0b 643b 210b

Разумеется, это застопорило интернет нашего офиса.

Выполнение следующих команд для блокировки IP-адресов устраняет проблему:

[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject [root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject [root@revolve-mainframe sysconfig]# netstat -r Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default gateway 0.0.0.0 UG 0 0 0 enp0s8 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 104.23.118.177 - 255.255.255.255 !H - - - - 104.23.119.177 - 255.255.255.255 !H - - - - 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s8 192.168.56.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s3

Теперь вопрос в том, является ли это результатом DDoS-атаки? Если я разблокирую эти два IP-адреса, я получаю поток входящих пакетов со всех видов различных IP-адресов.

Но это только два определенных IP-адреса, которые я должен заблокировать, чтобы остановить поток.

Или мой сервер был взломан и используется в качестве источника DDoS?

Или же...?

2
Вы не DDOSed. Недостаточно подключений. ** Вы не можете быть DDOSed с одного IP-адреса. ** Ramhound 7 лет назад 4
Это правильно @Ramhound, но вы можете делать DoSed (без второго D) с одного IP-адреса, если полоса пропускания атаки превышает полосу, доступную для вашей линии вверх. Однако в случае OP сервер не получает атаку. Он активно генерирует трафик к IP-адресам, указанным в iftop. попробуйте выяснить, какой процесс вызывает трафик на вашей машине. Может быть, это просто неисправный или давно забытый кронджоб. markusju 7 лет назад 2
Правильно, но автор думает, что он DOSOSED, а не DOSed. Я знаю разницу, специально не упомянул и не объяснил разницу Ramhound 7 лет назад 1
Хорошо, я обнаружил немного больше информации, данные действительно отправляются на и с множества IP-адресов. Как только я блокирую пару IP-адресов, в списке iftop появляется другой набор. Кроме того, если я посмотрю на сетевую активность Windows (у меня хост Windows 7 с гостем Fedora 23 в виртуальной машине VirtualBox, использующий мостовой адаптер для доступа в Интернет), я отправил ПУТЬ больше, чем получил. За прошедший день было отправлено около 632 ГБ, получено только 300 МБ. Так что теперь, похоже, мой сервер был взломан и фактически используется в качестве источника DoS. heisian 7 лет назад 0
Я отключил сетевой сервис через systemctl на виртуальной машине Fedora. Я думаю, что я сделаю, чтобы быть уверенным, просто перестроить стек в облаке. EC2. Таким образом, свежая установка и возможность получать свежие IP-адреса по прихоти. heisian 7 лет назад 0

1 ответ на вопрос

0
heisian

В настоящее время я вижу две возможности,

1) IP-адрес нашего офиса (статический IP-адрес, предоставленный симпатичным Comcast) находится в списке известных целей некоторыми DDoS / DoS-атакующими.

2) Сервер был взломан и используется для DoS-атак на других.

Или оба.

В любом случае, я пока исправлю это, полностью перестроив стек сервера из чистого экземпляра на Amazon EC2. Если мой физический сервер в нашем офисе был взломан, то новый облачный стек решит эту проблему.

Запуск облачного экземпляра также позволит мне довольно просто получить новый статический IP-адрес, который будет кошмаром обслуживания клиентов с Comcast, если я захочу сделать то же самое для собственного статического IP-адреса WAN нашего офиса.

Сделав еще один шаг вперед, я мог бы присвоить доменное имя своему IP-адресу, предоставленному в облаке, и использовать службу, такую ​​как Cloudflare, для маскировки и предотвращения попыток DDoS, если я по какой-то причине хочу опубликовать адрес для своего облачного сервера. Но, учитывая, что из 4 общедоступных серверов Amazon EC2 ни один еще не стал жертвой атаки, это может даже не потребоваться (пока наша компания не станет более крупной целью).

Похожие вопросы