¿Cuál es la causa probable del tráfico entrante extremadamente bajo y el tráfico saliente alto?

Ayer, nuestro servidor Digital Ocean encontró algo que parecía un ataque. El tráfico de salida aumentó repentinamente a 700Mbps, mientras que el tráfico entrante se mantuvo en aproximadamente 0.1Mbps, y no aumentó ni una sola vez. El tráfico duró varios minutos hasta que Digital Ocean cortó nuestro servidor de la red asumiendo que estamos realizando un DoS (lo cual es razonable).

Tengo dos suposiciones: o alguien hackeó nuestro servidor (después del ataque me di cuenta de que mi colega había habilitado el inicio de sesión SSH con contraseña) o hay algún tipo de ataque que no conozco.

¿Alguien puede aclararme esta situación? Si de hecho hay un tipo de DoS cuyo tráfico se ve así, por favor, infórmeme.

Una posibilidad probable es un ataque de amplificación. Si está ejecutando un solucionador DNS recursivo abierto (aunque existen otros protocolos con los que puede hacer esto), por ejemplo, puede recibir un paquete UDP muy pequeño que tiene una dirección IP falsificada. Luego, su servidor genera una gran respuesta y la envía a la víctima, pensando que es una solicitud legítima.

Otra posibilidad es que alguien extrajera datos de su red. Si alguien ingresara a su servidor y descargara cada byte que pudieran encontrar, también se vería así.

No hay forma de saber cuál era sin hacer una investigación, y esperar que lo que sucediera dejara evidencia. Si es lo último (exfiltración), entonces probablemente despejaron sus pistas lo mejor que pudieron.

Estoy de acuerdo con la posibilidad de un ataque de amplificación. La forma más sencilla de manejar esto es usar el firewall gratuito en la nube de DigitalOcean .

Solo permita la entrada de SSH, HTTP y HTTPS. Si es posible, solo permita SSH desde sus IP de confianza.

Puede hacerlo utilizando el firewall en su VM, la solución de DO es simplemente más fácil.

Deberías preguntarle a Digital Ocean. No apagan los servidores solo por un alto tráfico saliente: eso cerraría la mayoría de los servidores. Por ejemplo, un servidor web que aloja algo popular.

Más bien, cerraron su servidor porque la naturaleza de su tráfico parecía maliciosa. Como tal, probablemente tengan alguna idea de lo que era.

De lo contrario, tendrá que investigar usted mismo. Tal vez si el host todavía se está ejecutando, todavía está intentando enviar tráfico que está siendo descartado por Digital Ocean. En ese caso, podría observarlo con un volcado de paquetes. O puede encontrar pistas en los registros del sistema. Desafortunadamente, podría ser cualquiera de un millón de cosas, por lo que especular sobre la causa subyacente en ausencia de tal investigación es inútil.