SSH攻撃は10時間で4GBを消費します。可能?

10

サーバーの転送制限を超えたと警告されました。Torノードがポピュラーになったと思うので、今月はそれを無効にすることを選択しました(コミュニティーにとって最良の選択ではありませんが、ダウンする必要があります)。次に、今夜サーバーが約4GBを転送することに気づきました。私はAwstatsでApacheログをチェックしましたが、関連するトラフィックはありません(そして私はそこでそれほど人気のあるサイトをホストしていません)。私はメールログをチェックしましたが、誰もゴミを送ろうとしませんでした。私はmessagesログをチェックし、これらのトンを見つけました

Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156

数秒ごとにボットがSSHをハッキングしようとしていますが、これはpubkey認証が必要なため不可能です。私の質問は次のとおりです。このトラフィックは、この頻度で、10時間の連続攻撃で4GB(3.5としましょう)を消費できますか?

SSHポートを変更してこれらの攻撃を阻止しましたが、ネットワークの消費量がわかりません。私は暴走しているサービスを実行していません-私のファイアウォールはちょっと制限的です-またはP2Pか何かを乱用している誰かとサーバーを共有します 私の懸念は、400 GB /月未満になることです。

任意のヒント?

linux  bandwidth-control 
usr-local-ΕΨΗΕΛΩΝ
ソース

回答:

16

4 GBは可能ですが、攻撃率を考慮することはほとんどありません。OSSECをインストールすることをお勧めします。これは、侵入の試みを検出し、IPを一定の時間自動的にブロックします。

ルーカス・カウフマン
ソース
1
私はすでにfail2banを持っています。不正なログインをブロックしましたが、これらのメッセージを無視しているようです。多分私はそれを調整します。
USR-ローカルΕΨΗΕΛΩΝ
1
承諾しました。Fail2banは、そのログメッセージを侵入の試みとして受け入れるために、いくつかの調整が必要でした。私は2つの答えを受け入れることができないので、あまりにも@lainする1
USR-ローカルΕΨΗΕΛΩΝ
@djechelon:これで問題が解決する場合はお知らせください。どういうわけか私はそれがパケットがあなたのシステムに到着した後に落とされるのでそれがそうすることを疑います。
user9517
@Iainほとんどの攻撃者は、ドロップされたときに諦めます。
Lucas Kauffman
3
@LucasKaufman:4Gb / 10時間は〜120Kb /秒です。失敗した試行のスループットがそれほど高くないことはわかりません。上記のスニペットでは、攻撃率がはるかに低くなっています(26〜7分)。
user9517
14

これらが帯域幅の使用の原因である場合、帯域幅は、システムでそれらを処理するまでにすでに消費されています。iptrafなどのツールを使用して、各インターフェイス/ポートで何が起こっているかを分析し、事実に基づいて適切なアクションを実行できます。

user9517
ソース
もちろん、私は、今後の月から始まる、帯域幅の将来の消費を防ぐことに私の努力を置くことができる
USR-ローカルΕΨΗΕΛΩΝ
1
そして...非常に有用な答えが、iptrafはOpenVZは(基準では動作しませんwebhostingtalk.com/showthread.php?t=924814を)、私はそれを言及しませんでした:)
USR-ローカルΕΨΗΕΛΩΝ
基本的な考え方は変わりません。使い方がどこにあるかを教えてくれる問題を見つけて、問題を解決してください。それ以外は当て推量です。
user9517 2012
4

いいえ、これらの1秒に1回の接続試行自体は、10時間で合計4GBになることはありません。1秒に1回小さなパケットを取得することで、10時間で4 GBのファイルをダウンロードできると思いますか?1時間は3600秒なので、1秒あたりのキロバイト数が10時間の場合、36000 Kb、つまり36メガバイトになります。

帯域幅は、サーバーに到達するものではなく、プロバイダーから外部ルーターへのパイプを通過するものに従って測定されます。サーバーに到達しないがらくたを見て、ほとんどの外部機器が拒否していることを確認する必要があります。

サーバーに到達するものに関しては、アプリケーションログに依存することはできません。ローカルファイアウォールによって静かにドロップされるパケットでさえ帯域幅です。インターフェイスの統計(で表示ifconfig)は、Tx / Rxバイトを示します。

カズ
ソース
わからない。私の見解では、ログメッセージは、クライアントがポート22へのソケットを開いたが、「送信したもの」が適切なSSHハンドシェイクとして認識されなかったために拒否されたことを示しています。スキャナーが送信した実際のペイロードを確認するためにポート22を盗聴したくありませんでしたが、理論的には、SSHがドロップするまで大量のゴミを送信することができました。問題は、openSSHが無効なハンドシェイクをドロップするのはいつですか?第二に、私はTorの無効化、トラフィックがまだfail2banのトラフィックはほぼ停止し再構成したときに、(Apacheがsignificativeトラフィックを示さなかった)の増加で夜を過ごした
USR-ローカルΕΨΗΕΛΩΝ
1
念のため、少し言い換えてみます。サーバーから4GBの帯域幅を使いたい場合は、HTTP接続を開き、各リクエストに対して無制限のPOSTペイロードを送信するボットネットを作成できます。ログは、失敗したリクエストが低いレートで発生することを示しますが、それぞれ非常に重いです。しかし、これは意味を失い始めています。ノードを制御することが目的であるため、SSHスキャン(「root、admin ...の認証の失敗」)に慣れています。攻撃者がSSHを介して帯域幅を消費することをなぜ気にするのですか?意味がありません。誰かがTorのノードを嫌っていない限り...
USR-ローカルΕΨΗΕΛΩΝ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.