OK, oto kilka informacji: Fedora23 działa w VirtualBox na hoście Windows 7.
Router publiczny nie ma DMZ, ale przekazywanie portów od 2325 (zewnętrzne) do 1194 (wewnętrzne) i wewnętrzny statyczny adres IP.
Bieganie iftop
, Dostaję ogromną ilość ruchu przychodzącego / wychodzącego (50-70 Mb / s):
revolve-mainframe => 104.23.119.177 54.6Mb 35.4Mb 8.84Mb
<= 0b 0b 0b
revolve-mainframe => v.pr.h.cpvps.us 0b 643b 210b
Nie trzeba dodawać, że to grzęźnie w Internecie naszego biura.
Uruchomienie następujących poleceń w celu zablokowania adresów IP rozwiązuje problem:
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject
[root@revolve-mainframe sysconfig]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default gateway 0.0.0.0 UG 0 0 0 enp0s8
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
104.23.118.177 - 255.255.255.255 !H - - - -
104.23.119.177 - 255.255.255.255 !H - - - -
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s8
192.168.56.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s3
Teraz pytanie brzmi, czy to wynik ataku DDoS? Jeśli odblokuję te dwa adresy IP, otrzymuję zalew pakietów przychodzących z różnego rodzaju różnych adresów IP.
Ale tylko dwa konkretne adresy IP muszę zablokować, aby zatrzymać powódź.
A może mój serwer został naruszony i używany jako źródło DDoS?
Lub...?