我们的网络出站费用逐月增长。按成本计算,我们在一个月内流出超过 800GB,平均达到 300KB/s(白天 600Kb/s 和夜间 200kb/s)
我分析了所有可能发送数据的脚本。但是他们都没有以这个数量发送数据。我一一关掉了,但没有太大区别。
我暂时打开了 VPC 日志,下载并分析了日志。它们都分布在 IP 上。每分钟大约有 300 个不同的 IP,平均 10-12kb 大约 33Mb/min。没有任何 IP 脱颖而出。
我注意到他们中的大多数使用端口 443。
当我使用 nethogs 来识别执行大部分出口的进程时,它只给了 Apache 并且只显示了 50Kb/s。其余的出口在哪里??
我提出了 DDoS 攻击的可能性,但这应该会显示在 Apache 访问日志中。 Apache 访问日志没有显示任何可疑的 IP/url。
寻找我应该采取的提示/方向。如果我遗漏任何关键细节供您分析问题,请道歉。我会继续为问题添加更多细节。
【问题讨论】:
标签: google-cloud-platform ddos
如果您怀疑 DDos 攻击已经发生,我建议您使用 Cloud Armor,但在此之前,请查看您是否已遵循所有缓解措施以避免 DDos 攻击。
https://cloud.google.com/files/GCPDDoSprotection-04122016.pdf
【讨论】:
您遇到的很可能是 DDOS 攻击,就像 sankar wrote.
根据您的说法,日志中没有任何内容特别突出,这使得 DDOS 理论更有可能。
使用 Cloud Armor 似乎是开箱即用保护您的服务器/应用程序的最简单方法,因为它的主要功能之一是 Adaptive Protection;
Google Cloud Armor 自适应保护可帮助您保护您的 Google 针对 L7 分布式的云应用程序、网站和服务 拒绝服务 (DDoS) 攻击,例如 HTTP 洪水和其他 高频第 7 层(应用程序级)恶意活动。 自适应保护构建机器学习模型, 以下:
- 检测异常活动并发出警报
- 生成描述潜在攻击的签名
- 生成自定义 Google Cloud Armor WAF 规则以阻止签名
通过这种方式,您将能够避免大多数此类攻击并节省资金。即使you pay for this feature 在金钱方面应该对你有利——更不用说你的服务器会更安全,你可以更专注于其他事情。
可能有one more reason。
rootkit 通常会修补内核或其他软件库以改变操作系统的行为。一旦发生这种情况,您就不能相信操作系统告诉您的任何事情。
这样典型工具不会显示流量或任何可疑进程。
【讨论】: