Я под DDoS атакой?

Question

Итак, вот некоторая информация: Fedora23 работает в VirtualBox на хосте Windows 7.

Открытый маршрутизатор не имеет DMZ, но переадресация портов с 2325 (внешний) на 1194 (внутренний) и внутренний статический IP.

iftop , я получаю огромное количество входящего / исходящего трафика (50-70 Мбит / с):

revolve-mainframe           => 104.23.119.177                    54.6Mb  35.4Mb  8.84Mb
                            <=                                      0b      0b      0b
revolve-mainframe           => v.pr.h.cpvps.us                      0b    643b    210b

Разумеется, это застопорило интернет нашего офиса.

Выполнение следующих команд для блокировки IP-адресов устраняет проблему:

[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject
[root@revolve-mainframe sysconfig]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         gateway         0.0.0.0         UG        0 0          0 enp0s8
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
104.23.118.177  -               255.255.255.255 !H        - -          - -
104.23.119.177  -               255.255.255.255 !H        - -          - -
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 enp0s8
192.168.56.0    0.0.0.0         255.255.255.0   U         0 0          0 enp0s3

Теперь вопрос в том, является ли это результатом DDoS-атаки? Если я разблокирую эти два IP-адреса, я получаю поток входящих пакетов со всех видов различных IP-адресов.

Но это только два определенных IP-адреса, которые я должен заблокировать, чтобы остановить поток.

Или мой сервер был взломан и используется в качестве источника DDoS?

Или же...?

Answer 1

В настоящее время я вижу две возможности,

1) IP-адрес нашего офиса (статический IP-адрес, предоставляемый симпатичным Comcast) находится в списке известных целей некоторых атакующих DDoS/DoS.

2) Сервер был взломан и используется для DoS-атак на других.

Или оба.

В любом случае, я пока исправлю это, полностью перестроив стек сервера из чистого экземпляра на Amazon EC2. Если мой физический сервер в нашем офисе был взломан, то новый облачный стек решит эту проблему.

Запуск облачного экземпляра также позволит мне довольно просто получить новый статический IP-адрес, который будет кошмаром обслуживания клиентов с Comcast, если я захочу сделать то же самое для собственного статического IP-адреса WAN нашего офиса.

Сделав еще один шаг вперед, я мог бы присвоить доменное имя своему IP-адресу, предоставленному в облаке, и использовать службу, такую как Cloudflare, для маскировки и предотвращения попыток DDoS, если я по какой-то причине хочу опубликовать адрес своего облачного сервера. Но, учитывая, что из 4 общедоступных серверов Amazon EC2 ни один еще не стал жертвой атаки, это может даже не потребоваться (пока наша компания не станет более крупной целью).