Bin ich unter einem DDoS-Angriff?

641
heisian

OK, hier sind einige Informationen: Fedora23 läuft in VirtualBox auf einem Windows 7-Host.

Der öffentlich zugängliche Router verfügt über keine DMZ, aber Portweiterleitung von 2325 (extern) an 1194 (intern) und die interne statische IP-Adresse.

Beim Laufen iftopbekomme ich sehr viel ein- und ausgehenden Datenverkehr (50-70 MBit / s):

revolve-mainframe => 104.23.119.177 54.6Mb 35.4Mb 8.84Mb <= 0b 0b 0b revolve-mainframe => v.pr.h.cpvps.us 0b 643b 210b

Natürlich bremst das Internet in unserem Büro aus.

Durch das Ausführen der folgenden Befehle zum Blockieren der IPs wird das Problem behoben:

[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject [root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject [root@revolve-mainframe sysconfig]# netstat -r Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default gateway 0.0.0.0 UG 0 0 0 enp0s8 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 104.23.118.177 - 255.255.255.255 !H - - - - 104.23.119.177 - 255.255.255.255 !H - - - - 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s8 192.168.56.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s3

Nun ist die Frage, ob dies ein Ergebnis eines DDoS-Angriffs ist. Wenn ich diese beiden IPs entsperre, bekomme ich eine Flut eingehender Pakete von verschiedenen IP-Adressen.

Es sind jedoch nur zwei spezifische IP-Adressen, die ich blockieren muss, um die Flut zu stoppen.

Oder ist mein Server gefährdet und wird als DDoS-Quelle verwendet?

Oder...?

2
Sie werden nicht DDOSed. Es werden nicht genügend Verbindungen hergestellt. ** Sie können nicht von einer einzelnen IP-Adresse aus DDOS erhalten. ** Ramhound vor 7 Jahren 4
Das ist @Ramhound korrekt, aber Sie können DoSed (ohne das zweite D) von einer einzigen IP-Adresse aus ausführen, wenn die Angriffsbandbreite die für Ihren Uplink verfügbare Bandbreite überschreitet. Im Fall von OP empfängt der Server jedoch keinen Angriff. Es generiert aktiv Verkehr zu den in iftop angegebenen IP-Adressen. Um herauszufinden, welcher Prozess den Datenverkehr auf Ihrem Computer verursacht. Vielleicht ist es nur ein fehlerhafter oder ein längst vergessener Cronjob. markusju vor 7 Jahren 2
Richtig, aber der Autor denkt, er wird nicht DOS-geprüft. Ich kenne den Unterschied, habe den Unterschied nicht mit Absicht erwähnt oder erklärt Ramhound vor 7 Jahren 1
OK Ich habe etwas mehr Informationen entdeckt, es werden tatsächlich Daten zu und von einer Vielzahl von IP-Adressen gesendet. Sobald ich ein Paar von IPs blockiere, wird ein weiteres Set in der iftop-Liste angezeigt. Wenn ich mir außerdem die Windows-Netzwerkaktivität anschaue (ich habe einen Windows 7-Host mit einem Fedora 23-Guest in einer VirtualBox-VM, der einen überbrückten Adapter für den Zugriff auf das Internet verwendet), habe ich WAY mehr als gesendet. Appx 632 GB wurde am vergangenen Tag gesendet, während nur 300 MB empfangen wurden. Nun scheint es, als wäre mein Server möglicherweise gefährdet und wird tatsächlich als DoS-Quelle verwendet. heisian vor 7 Jahren 0
Ich habe den Netzwerkdienst vorerst über systemctl auf der Fedora VM deaktiviert. Ich denke, was ich tun werde, ist sicher, den Stack in der Cloud neu aufzubauen. EC2. Auf diese Weise, eine Neuinstallation und die Möglichkeit, aus einer Laune heraus frische IPs zu erhalten. heisian vor 7 Jahren 0

1 Antwort auf die Frage

0
heisian

Ich sehe derzeit zwei Möglichkeiten,

1) Die IP-Adresse unseres Büros (statische IP-Adresse, die vom schönen Comcast bereitgestellt wird) steht auf der Liste bekannter Ziele eines DDoS / DoS-Angreifers.

2) Server wurde kompromittiert und wird verwendet, um andere DoS-Angriffe anzugreifen.

Oder beides.

Um dies zu beheben, muss der Server-Stack aus einer bloßen Instanz auf Amazon EC2 komplett neu erstellt werden. Wenn mein physischer Server in unserem Büro kompromittiert wurde, löst der neue Cloud-Stack das Problem.

Durch das Ausführen einer Cloud-Instanz kann ich auch eher eine neue statische IP-Adresse erhalten. Dies wäre ein Albtraum für den Kundenservice mit Comcast, wenn ich dasselbe für die WAN-statische IP unseres Büros tun möchte.

Um noch einen Schritt weiter zu gehen, könnte ich meiner Cloud-bereitgestellten IP einen Domänennamen zuweisen und einen Dienst wie Cloudflare verwenden, um DDoS-Versuche zu maskieren und zu verhindern, falls ich aus irgendeinem Grund eine Adresse für meinen Cloud-Server veröffentlichen möchte. Da es sich jedoch um eines von vier öffentlich zugänglichen Amazon EC2-Servern handelt, wurde bisher noch keiner Opfer eines Angriffs, der möglicherweise nicht einmal notwendig ist (bis unser Unternehmen zu einem größeren Ziel wird).

Verwandte Probleme