Как определить DoS-атаку с виртульного сервера?

Добрый день.
Подскажите, пожалуйста, по такому вопросу.
Установил у провайдера виртуальный сервер, поставил туда ubuntu 14.04, установил и настроил rails, поднял приложение.

Сегодня провайдер написал, что отключил сетевой интерфейс сервера, так как обнаружил подозрительную сетевую активность:
==
==
IP address:
Port:
Protocol:
===
IP 180.00.16.8.52602 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019


Возможно ли определить, как проникли и стали DoS атаки проводить с моего сервера (180.00.16.8)?
Как исправить это проблему?

p.s. я новичок в этом вопросе, можно дать ссылку что почитать об этом, как выявить, как защититься.
  • Вопрос задан
  • 749 просмотров
Пригласить эксперта
Ответы на вопрос 1
@DobriyJuk
Сетевой инженер, системный администратор
Ну теоретически возможно. Но нужны логи и как можно больше. За период от первого запуска до обнаружения подозрительной активности. Боюсь, с такими вопросами вам лучше идти на ЛОР (linux.org.ru). Местный формат не очень подходит.
Можете попробовать определить сами. В любом случае, вы должны знать, какие коннекты, откуда и/или куда должны направляться на/с сервера. По каким портам и протоколам. Исходя из этих знаний можно поискать сетевую активность. Все доступы на любой сервер должны быть строго регламентированы. Например, доступ только по SSH, только с конкретного компа. Если веб сервер, открываем 80,443. Остальные должны быть закрыты.
В общем, требуется сузить поиски. И на будущее. Не надо использовать юзерскую ОСь для сервера. Если уж вам обязательно использовать именно линейку deb, то используйте Debian. А лучше CentOS, RHEL.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы