Trovare il metodo di attacco [chiuso]

0

Il mio server è stato più volte attaccato negli ultimi giorni. Ecco le osservazioni:

  1. Il monitoraggio del traffico del server ISP mostra che il traffico in entrata sale a 300 Mbps (senza traffico in uscita) e rimane in attesa per 10 minuti.
  2. Ho fail2ban attivato e ICMP echo off. Ho la porta 80/443, 22 aperta, e questo è un server Ubuntu 12. Il registro mostra che il traffico in entrata non è registrato da nginx o sshd, il che significa che non è stata tentata alcuna connessione a questa porta.
  3. Sono abbastanza sicuro di non soffrire di alcun tipo di perdita di dati e il server non è stato violato.

Capisco che questa è una forma di attacco DDOS. Mi chiedo se ci sono dei registri di sistema che posso esaminare per trovare la fonte del traffico e il tipo di attacco?

    
posta He Shiming 18.08.2013 - 07:23
fonte

1 risposta

2

A seconda del tipo di attacco puoi farlo con le tabelle ip (se stai usando Linux) o chiedere al tuo ISP di vedere da dove viene il traffico. Quest'ultimo è in realtà l'opzione migliore in quanto il traffico potrebbe contenere indirizzi IP falsificati. Il tuo ISP dovrebbe essere in grado di localizzare da dove proviene il traffico (approssimativamente) e vedere se possono bloccarlo usando BGP.

Non puoi fare nulla contro un DDoS localmente, una volta che il traffico ti raggiunge è già troppo tardi.

    
risposta data 18.08.2013 - 08:17
fonte

Leggi altre domande sui tag