솔직히 말하면, 서버 관리에 열악하지만 상사가 나에게 도움을 요청했습니다. 그의 서버는 하루에 2GB의 제한된 대역폭을 가지고 있으며, 오늘 회사는 서버를 초과하여 24GB를 사용했다는 경고를 받았습니다.
불가능한 원인이 되었기 때문에 문제를 추적 할 수 있는지 물었습니다. 어디서부터 시작해야할지 모르겠습니다.
어떤 정보가 무엇이 잘못되었는지 어떻게 알 수 있습니까?
머신이 Ubuntu 12.04에서 실행 중입니다. 가장 흥미로운 점은 호스팅 업체로부터 수신 한 다이어그램에 따르면 발신 전송 만 사용되었다는 것입니다.
편집하다
제안 주셔서 감사합니다, 나는 tcpdump를 실행하고 결과를 검토하려고합니다
답변
즉각적인 모니터링을 위해 iftop 을 사용할 수 있습니다 . 현재 활성화 된 연결 및 사용중인 대역폭이 표시됩니다. 트래픽이 많은 연결을 식별하면 로컬 포트 번호 netstat를 찾아 연결이 속하는 프로세스를 찾는 데 사용 하십시오.
sudo netstat -tpn | grep 12345
장기 모니터링을 위해서는 darkstat 과 같은 것을 제안합니다 . 이를 통해 호스트 및 포트별로 분류하여 트래픽과 관련된 트래픽을 파악할 수 있습니다.
답변
ntop을 설치하는 것이 좋습니다.
호스트 게이트웨이 / 라우터 위치에 배치하고 하루 / 주 동안 트래픽을보십시오. Ntop은 IP / 포트 / 프로토콜별로 분류 할 수있는 웹 UI를 제공합니다.
답변
패킷 캡처는 일반적으로 이와 같은 상황에서 가장 먼저 시작됩니다. tcpdump가 설치되어 있는지 확인한 $ sudo apt-get install tcpdump후 ( ) 다음을 실행하십시오.
$ sudo tcpdump -w packet.log
모든 패킷의 로그를에 기록합니다 packet.log. 몇 분 동안 실행 한 다음 해당 파일을 다운로드하고 Wireshark를 사용하여 검사하십시오 . 미스터리 트래픽이 여전히 발생하는 경우 패킷 캡처 데이터를 통해 한 눈에 볼 수 있습니다.
답변
tcpdump를 살펴보십시오 . 이름에서 알 수 있듯이 tcp뿐만 아니라 모든 네트워크 트래픽을 덤프 할 수 있으며 Wireshark와 같은 응용 프로그램으로 읽을 수 있습니다. Wireshark에서는 특정 유형의 데이터를 필터링하고 네트워크 I / O의 그래프를 플롯하기가 매우 쉽습니다.
또 다른 유용한 도구는 netstat 일 수 있으며 진행중인 네트워크 연결 목록을 표시합니다. 아마도 연결되어서는 안될 연결이있을 것입니다. Tcpdump는 훨씬 더 유용하지만 (몇 분 동안 캡처 한 다음 이미 소스를 볼 수 있는지 확인하십시오) netstat가 빠른 개요를 제공 할 수 있습니다.
그건 그렇고, 내 생각은 서버에 악성 코드가 있거나 증폭 공격에 사용되고 있다는 것입니다. 그러나 이것을 조사하려면 먼저 tcpdump를 실행해야합니다.
편집 : tcpdump는 루트로 실행해야 할 수도 있습니다 sudo tcpdump.
또 다른 편집 : 증폭 공격이 일반적으로 무엇인지 링크 할 수있는 좋은 웹 페이지를 찾을 수 없으므로 짧은 버전이 있습니다.
DNS와 같은 프로토콜은 UDP에서 실행됩니다. UDP 트래픽은 연결이 없으므로 다른 사람의 IP 주소를 매우 쉽게 스푸핑 할 수 있습니다. DNS 응답은 일반적으로 쿼리보다 크기 때문에 DoS 공격에 사용될 수 있습니다. 공격자는 DNS 서버가 지정된 이름으로 가지고있는 모든 레코드를 요청하는 쿼리를 보내고 요청이 X에서 시작되었음을 DNS 서버에 알려줍니다.이 X는 공격자가 DoS에 원하는 대상입니다. 그런 다음 DNS 서버는 친절하게 응답하여 (큰, 4kB) 응답을 X에 보냅니다.
공격자가 X가 실제로받는 것보다 적은 데이터를 전송하기 때문에 이것은 증폭입니다. 이것이 가능한 유일한 프로토콜은 DNS가 아닙니다.
답변
이를위한 가장 좋은 도구는 아마도 iftop 이고 sudo apt-get install iftop을 통해 쉽게 apt-get’able 할 수 있습니다. 범인 IP / 호스트 이름에 따라 출력이 표시됩니다.
191Mb 381Mb 572Mb 763Mb 954Mb
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local => box-2.local 91.0Mb 27.0Mb 15.1Mb
<= 1.59Mb 761kb 452kb
box4.local => box.local 560b 26.8kb 27.7kb
<= 880b 31.3kb 32.1kb
box4.local => userify.com 0b 11.4kb 8.01kb
<= 1.17kb 2.39kb 1.75kb
box4.local => b.resolvers.Level3.net 0b 58b 168b
<= 0b 83b 288b
box4.local => stackoverflow.com 0b 42b 21b
<= 0b 42b 21b
box4.local => 224.0.0.251 0b 0b 179b
<= 0b 0b 0b
224.0.0.251 => box-2.local 0b 0b 0b
<= 0b 0b 36b
224.0.0.251 => box.local 0b 0b 0b
<= 0b 0b 35b
─────────────────────────────────────────────────────────────────────────────────
TX: cum: 37.9MB peak: 91.0Mb rates: 91.0Mb 27.1Mb 15.2Mb
RX: 1.19MB 1.89Mb 1.59Mb 795kb 486kb
TOTAL: 39.1MB 92.6Mb 92.6Mb 27.9Mb 15.6Mb
구형 * nix의 고전적이고 강력한 sar 및 netstat 유틸리티를 잊지 마십시오!
또 다른 좋은 도구입니다 nload , 실시간 대역폭을 모니터링하고 쉽게는 sudo apt-get을 설치 nload와 우분투 나 데비안 설치를위한 훌륭한 도구입니다.
Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:
. ...|
# ####|
.. |#| ... #####. .. Curr: 2.07 MBit/s
###.### #### #######|. . ## | Avg: 1.41 MBit/s
########|#########################. ### Min: 1.12 kBit/s
........ ################################### .### Max: 4.49 MBit/s
.##########. |###################################|##### Ttl: 1.94 GByte
Outgoing:
########## ########### ###########################
########## ########### ###########################
##########. ########### .###########################
########### ########### #############################
########### ###########..#############################
############ ##########################################
############ ##########################################
############ ########################################## Curr: 63.88 MBit/s
############ ########################################## Avg: 32.04 MBit/s
############ ########################################## Min: 0.00 Bit/s
############ ########################################## Max: 93.23 MBit/s
############## ########################################## Ttl: 2.49 GByte
답변
꽤 오래 동안 문제를 조사한 후 (며칠 동안 60GB 이상의 대역폭) 서버가 DDOS 공격 소스라는 것을 알았습니다.
우선, Oracle DB를 설치하려고 했으므로 Oracle 사용자를 만들었습니다. 해커는 어떻게 든 그 사용자의 패스를 깨뜨 렸습니다 (어려워 야한다고 생각합니다 :(), 그들은 오라클 홈 아래에 숨겨진 디렉토리를 만들었습니다.
또한 해커는 내 서버에서 avahi 및 colored라는 두 명의 새 사용자를 만들었습니다. 그들에 대해 어떻게해야합니까? 나는 구글과 같은 이름을 가진 소프트웨어는 위험하지 않지만 그 사용자를 삭제했다 (그리고 오라클도).
또한 나는 모든 오라클 파일을 집으로 삭제했습니다.
다시 공격받을 수 있으므로 서버를 더 안전하게 보호해야한다고 생각합니다. 모두의 도움에 감사드립니다!
답변
대역폭 할당량을 초과 한 날에 전송 된 모든 패킷을 캡처하는 것은 아마도 가장 현명한 접근 방법이 아닙니다. 분석을 위해 시스템의 데이터를 어떻게 얻을 수 있습니까?
상자에 어떤 액세스 권한이 있습니까? 어떤 포트가 열려 있습니까? 실행중인 서비스의 로그를 확인 했습니까? awstats와 같은 것은 FTP, HTTP 및 SMTP 로그를 요약합니다 (이 서버가 데이터를 로그에 기록하도록 구성되어 있다고 가정). OTOH mrtg는 엔드 포인트 / 포트별로 네트워크 사용량을 기록하고 추적합니다.
