Qual é a causa provável do tráfego de entrada extremamente baixo e do alto tráfego de saída?

Ontem, nosso servidor da Digital Ocean encontrou algo que parecia um ataque. O tráfego de saída aumentou repentinamente para 700 Mbps, enquanto o tráfego de entrada permaneceu em cerca de 0,1 Mbps e não aumentou nem uma vez. O tráfego durou vários minutos até que o Digital Ocean cortou nosso servidor da rede, assumindo que estamos executando um DoS (o que é razoável).

Eu tenho duas suposições: alguém invadiu nosso servidor (após o ataque, percebi que meu colega havia ativado o login SSH com senha) ou há algum tipo de ataque que eu não conheço.

Alguém pode esclarecer essa situação para mim? Se realmente existe um tipo de DoS cujo tráfego se parece com isso, por favor, me informe.

Uma possibilidade provável é um ataque de amplificação. Se você estiver executando um resolvedor de DNS recursivo aberto (existem outros protocolos com os quais você pode fazer isso), por exemplo, você pode receber um pacote UDP muito pequeno que possui um endereço IP falsificado. Seu servidor gera uma grande resposta e a envia à vítima, pensando que é uma solicitação legítima.

Outra possibilidade é que alguém estivesse exfiltrando dados da sua rede. Se alguém entrasse no seu servidor e estivesse descarregando todos os bytes que conseguisse encontrar, também seria assim.

Não há como saber qual era sem fazer uma investigação, e esperando que o que quer que tenha acontecido deixe evidências. Se for o último (exfiltração), provavelmente eles limparam suas trilhas da melhor maneira possível.

Eu concordo com a possibilidade de um ataque de amplificação. A maneira mais simples de lidar com isso é usar o firewall de nuvem gratuito da DigitalOcean .

Permitir apenas entrada SSH, HTTP e HTTPS. Se possível, permita apenas o SSH de seus IPs confiáveis.

Você pode fazer isso usando o firewall da sua VM, a solução do DO é apenas mais fácil.

Você deve perguntar ao Digital Ocean. Eles não desligam servidores apenas por alto tráfego de saída: isso desligaria a maioria dos servidores. Por exemplo, um servidor da web que hospeda algo popular.

Em vez disso, eles desligaram o servidor porque a natureza do seu tráfego parecia maliciosa. Como tal, eles provavelmente têm alguma idéia do que era.

Caso contrário, você terá que se investigar. Talvez se o host ainda estiver em execução, ele ainda está tentando enviar tráfego que está sendo descartado pelo Digital Ocean. Nesse caso, você seria capaz de observá-lo com um despejo de pacotes. Ou você pode encontrar pistas nos logs do sistema. Infelizmente, pode haver um milhão de coisas, portanto, é inútil especular sobre a causa subjacente ausente.