我们运行邮件服务器(postfix / dovecot / centos 6.4)。 硬件基于具有IPMIfunction的超微基础。
它还运行访问邮件的Web界面(Apache Web服务器)
最近我们的区议会表示,我们正在发送按照他们的说法触及1.3Gbps的出站DDOS攻击。 他们无视知识产权。 根据我们的请求,他们再次激活IP。
现在我们正在监视服务器,看到exception的出境交易,速度为2mbps,我们没有发过多less电子邮件),每30分钟后高达30mbps的峰值(根据New Relic Monitor的数据)
该提供商表示,我们可能正在运行DDOSreflection攻击。 服务器login是安全的,authentication日志说没有任何exception
我们没有任何DNS服务器运行。 另外NTP在客户端模式下运行并且是安全的。
nettop,iptraffic,nethogs显示一切正常,只有在ifconfig中传输和接收的stream量总结说关于发送的大量数据。
同时我们也禁用了我们的IPMI上的NTP客户端,因为我知道超微IPMI易受NTPreflectionDDOS的影响。
在这一点上,我无能为力,正在寻求专家的帮助。 帮助将不胜感激!
将您的IPMI固件升级到最新版本。 它看起来不是你的操作系统,而是易受攻击的IPMI卡。
你没有告诉我们这是什么型号的IPMI / Chasis,但是在最新的Super Micro固件列表中没有1.07版本,所以它必须是更新的。