Mi servidor ha sido atacado repetidamente en los últimos días. Aquí están las observaciones:
- El monitor de tráfico del servidor ISP muestra que el tráfico entrante sube a 300 Mbps (sin tráfico saliente) y se mantiene durante 10 minutos.
- Tengo el fail2ban activado y el eco ICMP desactivado. Tengo el puerto 80/443, 22 abierto, y este es un servidor Ubuntu 12. El registro muestra que nginx o sshd no registran el tráfico entrante, lo que significa que no se intentó una conexión exitosa a estos puertos.
- Estoy bastante seguro de que no estoy sufriendo ningún tipo de pérdida de datos y que el servidor no está pirateado.
Entiendo que esto es una forma de ataque DDOS. Me pregunto si hay algún registro del sistema que pueda revisar para encontrar la fuente del tráfico y el tipo de ataque.