Il mio server è stato più volte attaccato negli ultimi giorni. Ecco le osservazioni:
- Il monitoraggio del traffico del server ISP mostra che il traffico in entrata sale a 300 Mbps (senza traffico in uscita) e rimane in attesa per 10 minuti.
- Ho fail2ban attivato e ICMP echo off. Ho la porta 80/443, 22 aperta, e questo è un server Ubuntu 12. Il registro mostra che il traffico in entrata non è registrato da nginx o sshd, il che significa che non è stata tentata alcuna connessione a questa porta.
- Sono abbastanza sicuro di non soffrire di alcun tipo di perdita di dati e il server non è stato violato.
Capisco che questa è una forma di attacco DDOS. Mi chiedo se ci sono dei registri di sistema che posso esaminare per trovare la fonte del traffico e il tipo di attacco?