Buscando el método de ataque [cerrado]

0

Mi servidor ha sido atacado repetidamente en los últimos días. Aquí están las observaciones:

  1. El monitor de tráfico del servidor ISP muestra que el tráfico entrante sube a 300 Mbps (sin tráfico saliente) y se mantiene durante 10 minutos.
  2. Tengo el fail2ban activado y el eco ICMP desactivado. Tengo el puerto 80/443, 22 abierto, y este es un servidor Ubuntu 12. El registro muestra que nginx o sshd no registran el tráfico entrante, lo que significa que no se intentó una conexión exitosa a estos puertos.
  3. Estoy bastante seguro de que no estoy sufriendo ningún tipo de pérdida de datos y que el servidor no está pirateado.

Entiendo que esto es una forma de ataque DDOS. Me pregunto si hay algún registro del sistema que pueda revisar para encontrar la fuente del tráfico y el tipo de ataque.

    
pregunta He Shiming 18.08.2013 - 07:23
fuente

1 respuesta

2

Dependiendo del tipo de ataque, puede hacer esto con las tablas ip (si está ejecutando Linux) o solicitar a su ISP que vea de dónde proviene el tráfico. Esta última es la mejor opción, ya que el tráfico puede contener direcciones IP falsas. Su ISP debería poder localizar de dónde proviene el tráfico (aproximadamente) y ver si pueden bloquearlo utilizando BGP.

No puedes hacer nada contra un DDoS localmente, una vez que el tráfico te llega, ya es demasiado tarde.

    
respondido por el Lucas Kauffman 18.08.2013 - 08:17
fuente

Lea otras preguntas en las etiquetas