Quelle est la cause probable d'un trafic entrant extrêmement faible et d'un trafic sortant élevé?

Hier, notre serveur Digital Ocean a rencontré quelque chose qui ressemblait à une attaque. Le trafic sortant est soudainement passé à 700 Mbps, tandis que le trafic entrant est resté à environ 0,1 Mbps, et n'a même pas augmenté une seule fois. Le trafic a duré plusieurs minutes jusqu'à ce que Digital Ocean coupe notre serveur du réseau en supposant que nous effectuons un DoS (ce qui est raisonnable).

J'ai deux hypothèses: soit quelqu'un a piraté notre serveur (après l'attaque, j'ai réalisé que mon collègue avait activé la connexion SSH avec mot de passe) ou il y a une sorte d'attaque que je ne connais pas.

Quelqu'un peut-il clarifier cette situation pour moi? S'il y a effectivement une sorte de DoS dont le trafic ressemble à cela, veuillez m'informer.

Une possibilité probable est une attaque d'amplification. Si vous exécutez un résolveur DNS récursif ouvert (il existe cependant d'autres protocoles avec lesquels vous pouvez le faire), par exemple, vous pouvez recevoir un très petit paquet UDP qui a une adresse IP usurpée. Votre serveur génère ensuite une réponse volumineuse et l'envoie à la victime, pensant qu'il s'agit d'une demande légitime.

Une autre possibilité est que quelqu'un exfiltre des données de votre réseau. Si quelqu'un pénétrait dans votre serveur et déchargeait chaque octet qu'il pouvait trouver, cela ressemblerait également à cela.

Il n'y a aucun moyen de savoir de qui il s'agit sans faire une enquête et en espérant que quoi qu'il arrive, il reste des preuves. Si c'est ce dernier (exfiltration), ils ont probablement effacé leurs traces du mieux qu'ils pouvaient.

Je suis d'accord avec la possibilité d'une attaque d'amplification. La façon la plus simple de gérer cela est d'utiliser le pare-feu cloud gratuit de DigitalOcean .

Autorisez uniquement les entrées SSH, HTTP et HTTPS. Si possible, n'autorisez SSH qu'à partir de vos adresses IP de confiance.

Vous pouvez le faire en utilisant le pare-feu sur votre machine virtuelle, la solution de DO est simplement plus facile.

Vous devriez demander à Digital Ocean. Ils n'arrêtent pas les serveurs uniquement pour un trafic sortant élevé: cela arrêterait la plupart des serveurs. Par exemple, un serveur Web hébergeant quelque chose de populaire.

Au contraire, ils arrêtent votre serveur car la nature de votre trafic semble malveillante. En tant que tels, ils ont probablement une idée de ce que c'était.

Sinon, vous devrez vous enquêter. Peut-être que si l'hôte est toujours en cours d'exécution, il tente toujours d'envoyer du trafic qui est abandonné par Digital Ocean. Dans ce cas, vous pourrez l'observer avec un vidage de paquets. Ou vous pourrez peut-être trouver des indices dans les journaux système. Cela pourrait être un million de choses malheureusement, donc spéculer sur la cause sous-jacente en l'absence d'une telle enquête est futile.