SSH 공격은 10 시간 동안 4GB를 소모합니다. 가능한? 29 10:19:41 marcus sshd[9317]:

서버가 전송 한도를 초과했음을 경고했습니다. 나는 Tor 노드가 인기를 얻었으므로 이번 달에 사용하지 않도록 선택했습니다 (커뮤니티에 가장 적합한 선택은 아니지만 내려 가야 함). 그런 다음 서버가 오늘 밤 약 4GB를 전송했음을 알았습니다. 관련 트래픽이없는 Awstats로 Apache 로그를 확인했습니다 (그리고 인기있는 사이트는 호스팅하지 않습니다). 메일 로그를 확인했는데 아무도 쓰레기를 보내려고하지 않았습니다. 나는 messages로그를 확인 하고 이것들의 톤을 발견했다

Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156

봇이 SSH를 해킹하려고 할 때마다 몇 초마다 pubkey 인증이 필요하기 때문에 불가능합니다. 내 질문은 :이 빈도 로이 트래픽이 10 시간 연속 공격에서 4GB (3.5)를 소비 할 수 있습니까?

SSH 포트를 변경하고 이러한 공격을 중지했지만 네트워크 소비가 확실하지 않습니다. 나는 통제가 불가능한 서비스를 가지고 있지 않다. 내 방화벽은 다소 제한적이다. 내 관심사는 한 달에 400GB 이하로 이동하는 것입니다.

팁이 있습니까?



답변

4GB는 가능하지만 공격률을 고려하지는 않습니다. OSSEC을 설치하는 것이 좋습니다. 침입 시도를 감지하고 특정 시간 초과 동안 IP를 자동으로 차단합니다.


답변

이것이 대역폭 사용의 원인 인 경우 시스템에서 대역폭을 처리 할 때 대역폭이 이미 소비됩니다. iptraf와 같은 도구를 사용하여 각 인터페이스 / 포트에서 발생하는 상황을 분석 한 다음 사실에 따라 적절한 조치를 취할 수 있습니다.


답변

아니요, 이러한 초당 연결 시도 횟수 자체는 10 시간 동안 최대 4GB를 추가하지 않습니다. 초에 한 번 작은 패킷을 가져 와서 10 시간 내에 4GB 파일을 다운로드 할 수 있다고 생각하십니까? 한 시간에 3600 초가 있으므로 10 시간 동안 초당 킬로바이트를 얻는 경우 36000Kb 또는 36MB가됩니다.

대역폭은 서버에 도달하는 것이 아니라 공급자에서 외부 라우터로 파이프를 내려가는 것에 따라 측정됩니다. 서버에 도달하지 않은 크랩을 살펴 봐야합니다. 대부분의 외부 장비는 거부합니다.

서버에 도달하는 한 응용 프로그램 로그에 의존 할 수 없습니다. 로컬 방화벽에 의해 자동으로 삭제 된 패킷도 대역폭입니다. 인터페이스 통계 (로 표시 ifconfig)는 Tx / Rx 바이트를 알려줍니다.