অত্যন্ত কম অন্তর্মুখী ট্র্যাফিক এবং উচ্চ আউটবাউন্ড ট্র্যাফিকের সম্ভাব্য কারণ কী?

9

গতকাল আমাদের ডিজিটাল ওশান সার্ভার এমন একটি পরিস্থিতির মুখোমুখি হয়েছিল যা আক্রমণটির মতো দেখায়। আউটবাউন্ড ট্র্যাফিক হঠাৎ করে 700 এমবিপিএসে বেড়েছে, তবে ইনবাউন্ড ট্র্যাফিক প্রায় 0.1 এমবিপিএসে দাঁড়িয়েছে, এবং একবারেও বাড়েনি। ডিজিটাল মহাসাগর আমাদের সার্ভারটি নেটওয়ার্কটি বন্ধ না করে অবধি কয়েক মিনিট ধরে ট্র্যাফিক চলল ধরে নিয়ে আমরা কোনও ডস করছি (যা যুক্তিসঙ্গত)।

আমার দুটি ধারণা আছে: হয় কেউ আমাদের সার্ভারে হ্যাক করে (হামলার পরে আমি বুঝতে পেরেছিলাম আমার সহকর্মী পাসওয়ার্ড দিয়ে এসএসএইচ লগইন সক্ষম করেছে) বা এমন এক ধরনের আক্রমণ রয়েছে যা সম্পর্কে আমি জানিনা।

কেউ কি আমার এই পরিস্থিতি পরিষ্কার করতে পারে? যদি সত্যিই কোনও ধরণের ডস থাকে যা ট্র্যাফিকের মতো লাগে তবে দয়া করে আমাকে শিক্ষিত করুন।

security  denial-of-service 
ক্রিজিসটফ ক্র্যাজেসউইস্কি
সূত্র
1
জোনাস শোফার
2
আপনি VestaCP চালান তাহলে এই তাকান দয়া করে নিশ্চিত করুন DigitalOcean পৃষ্ঠা
সেভভ্লোর
2
পছন্দ করুন আমার সহকর্মীটি আমাদের সার্ভারে এই জিনিসটি ইনস্টল করে রেখেছিল তা আমার কোনও ধারণা ছিল না। ধন্যবাদ।
ক্রিজিস্তফফ ক্র্যাজেসউসকি
এছাড়াও @ জোনাস উইলিকি লিঙ্কটির জন্য ধন্যবাদ, এটি কোনও দিন নিজেকে কার্যকর প্রমাণিত করবে।
ক্রিজিস্তফফ ক্র্যাসেজিউসকি

উত্তর:

20

সম্ভাব্যতার সম্ভাবনাগুলির মধ্যে একটি হ'ল এমপ্লিফিকেশন আক্রমণ। যদি আপনি একটি ওপেন রিকার্সিভ ডিএনএস রিসলভার চালাচ্ছেন (অন্য কিছু প্রোটোকল রয়েছে যা আপনি এটি দিয়ে করতে পারেন) উদাহরণস্বরূপ, আপনি খুব ছোট ইউডিপি প্যাকেট পেতে পারেন যার একটি স্পুফড আইপি ঠিকানা রয়েছে। আপনার সার্ভারটি তখন একটি বৃহত্তর প্রতিক্রিয়া উত্পন্ন করে এবং এটি একটি বৈধ অনুরোধ ভেবে ভুক্তভোগীর কাছে প্রেরণ করে।

আরেকটি সম্ভাবনা হ'ল যে কেউ আপনার নেটওয়ার্ক থেকে ডেটা উপস্থাপন করছে। যদি কেউ আপনার সার্ভারে প্রবেশ করে এবং তারা খুঁজে পেতে পারে এমন প্রতিটি বাইটটি অফলোড করে চলেছে, তবে এটি দেখতে এটির মতোই দেখাবে।

তদন্ত না করেই এটি কোনটি ছিল তা জানার কোনও উপায় নেই এবং আশা করি যে যা ঘটেছিল তার প্রমাণ বামে। যদি এটি পরে (এক্সফিলারেশন) হয় তবে তারা সম্ভবত তাদের ট্র্যাকগুলি যথাসম্ভব সাফ করেছে।

মার্ক হেন্ডারসন
সূত্র
1
ধন্যবাদ। আমি ডিও-র সাথে একযোগে রয়েছি, আশা করি তারা কী চলছে তা সম্পর্কে তাদের ধারণা থাকবে। আমার তদন্ত অনুসারে, সম্ভবত কেউ এসএসএইচ মাধ্যমে আমাদের সার্ভারে অ্যাক্সেস পেয়েছে। আমি আপনার উত্তরটি আমার প্রশ্নের উত্তর দেওয়ার ক্ষেত্রে সবচেয়ে নির্ভুল হিসাবে গ্রহণ করছি, যদিও অন্যান্য উত্তরগুলিও খুব দরকারী very
ক্রিজিস্তফফ ক্র্যাসেজিউস্কি
2
@ ক্রিজিসটফক্র্যাসজেউস্কি যদি না আপনার সহকর্মী সত্যই ব্রেনিডেড পাসওয়ার্ড ব্যবহার / ব্যবহার না করে থাকেন তবে এসএসএইচ আমার কাছে সম্ভাব্য প্রার্থী বলে মনে হবে না। রিমোট ব্রুট-জোর দেওয়া খুব ধীর এবং গোলমাল।
উইল
যদি সার্ভারটি আপোস করা থাকে তবে একটি পরিবর্ধন আক্রমণটি খুব কমই অসম্ভব বলে মনে হচ্ছে। আপনি যখন সার্ভারটি রুট করেছেন তখন কেন এ জাতীয় তুচ্ছ আক্রমণকে বিরক্ত করবেন? এবং ব্রিন্ডেড পাসওয়ার্ডগুলি উল্লেখযোগ্যভাবে সাধারণ।
ফিল ফ্রস্ট
1
@ ফিলিফ্রস্ট আমার প্রশস্তকরণ আক্রমণটির উল্লেখ করার বিষয়টি হ'ল এটি সম্ভব হয়েছিল যে ওপি অন্য কিছু চালাচ্ছে যা কেবল সেভাবে ব্যবহৃত হচ্ছে এবং সার্ভারের সাথে কোনও আপস করা হয়নি। ডিএনএস সর্বাধিক সাধারণ, তবে এমওটিডি এবং অন্যান্য অদ্ভুত পুরাতন প্রোটোকলগুলিও এইভাবে ব্যবহার করা যেতে পারে। এটি একটি সম্ভাব্য সমাধান যা অদ্ভুত ট্র্যাফিক প্যাটার্নে ফিট করে।
মার্ক হেন্ডারসন
3
dave_thompson_085
10

আমি একটি পরিবর্ধনের আক্রমণের সম্ভাবনার সাথে একমত এটি পরিচালনা করার সহজতম উপায় হ'ল ডিজিটাল ওশনের ফ্রি ক্লাউড ফায়ারওয়াল ব্যবহার করা

কেবল এসএসএইচ, এইচটিটিপি, এবং এইচটিটিপিএসকে ইনবাউন্ডে অনুমতি দিন। যদি সম্ভব হয় তবে কেবলমাত্র আপনার বিশ্বস্ত আইপি থেকে এসএসএইচকে অনুমতি দিন।

আপনি আপনার ভিএম এর ফায়ারওয়াল ব্যবহার করে এটি করতে পারেন, ডিও এর সমাধানটি সহজ।

মাইক এম
সূত্র
পরামর্শ দেওয়ার জন্য ধন্যবাদ, আমি আমাদের সার্ভারগুলি সুরক্ষিত করার জন্য কিছুটা সময় ব্যয় করব (যেমনটি কিছুক্ষণ আগে আমার উচিত ছিল)।
ক্রিজিস্তফফ ক্র্যাজেসউসকি
5

আপনি ডিজিটাল মহাসাগর জিজ্ঞাসা করা উচিত। তারা কেবল উচ্চ আউটবাউন্ড ট্র্যাফিকের জন্য সার্ভারগুলি বন্ধ করে না: এটি বেশিরভাগ সার্ভারগুলি বন্ধ করে দেবে। উদাহরণস্বরূপ, একটি ওয়েবসারভার জনপ্রিয় কিছু হোস্টিং করে।

বরং তারা আপনার সার্ভারটি বন্ধ করে দিয়েছে কারণ আপনার ট্র্যাফিকের প্রকৃতিটিকে দূষিত দেখাচ্ছে। এই হিসাবে, তারা সম্ভবত এটি ছিল কি কিছু ধারণা আছে।

অন্যথায় আপনাকে নিজেরাই তদন্ত করতে হবে। হোস্ট এখনও চলমান থাকলে এটি এখনও ট্র্যাফিক প্রেরণের চেষ্টা করছে যা ডিজিটাল মহাসাগর দ্বারা নামানো হচ্ছে। সেক্ষেত্রে আপনি এটি প্যাকেট ডাম্পের সাথে পর্যবেক্ষণ করতে সক্ষম হবেন। অথবা আপনি সিস্টেম লগের মধ্যে কোনও ক্লু খুঁজে পেতে সক্ষম হতে পারেন। দুর্ভাগ্যক্রমে এটি মিলিয়ন জিনিসগুলির মধ্যে যে কোনও হতে পারে, সুতরাং অন্তর্নিহিত কারণ সম্পর্কে অনুমান করা যেমন তদন্ত অনুপযুক্ত।

ফিল ফ্রস্ট
সূত্র
মাইক এম এর উত্তরের নিচে আমার মন্তব্য দেখুন। দেখে মনে হচ্ছে যে কেউ আমাদের সার্ভারটি অ্যাক্সেস করেছে এবং আক্রমণ চালাতে ব্যবহার করেছে। আপনার উত্তর করার জন্য আপনাকে ধন্যবাদ।
ক্রিজিস্তফফ ক্র্যাজেসউসকি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.