آیا این دی داس هست یا خیر

[it-net]

با سلام
ما یک سرور از هتزنر خریداری کردیم و دیتاستر متی زیر رو برای ما ارسال کرده:
Dear Sir or Madam

We regret to inform you that your server with the IP address mentioned in the above subject line has been the target of an attack.

As a result, this has placed a considerable strain on network resources and consequently a segment of our network has been very adversely affected.

Your server has therefore been deactivated as a precautionary measure.

A corresponding traffic protocol is attached for your information.

Guidelines regarding further course of action may be found in our wiki:
Leitfaden bei Serversperrung/en – Hetzner DokuWiki

For questions regarding activation, please open a support request via Robot under the menu item "Support; Requests": https://robot.your-server.de/

Yours faithfully

Your Hetzner Support Team

07:11:06.019825 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.43893 > 144.76.19.112.13442: UDP, length 0
07:11:06.020026 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.40149 > 144.76.19.112.13458: UDP, length 0
07:11:06.020167 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.39828 > 144.76.19.112.13443: UDP, length 0
07:11:06.020302 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.53058 > 144.76.19.112.13461: UDP, length 0
07:11:06.020395 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.46817 > 144.76.19.112.13450: UDP, length 0
07:11:06.020571 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.18.196.55325 > 144.76.19.112.14385: UDP, length
0
07:11:06.020715 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.18.196.55325 > 144.76.19.112.14385: UDP, length
0
07:11:06.020893 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.18.196.45152 > 144.76.19.112.14388: UDP, length
0

متن طولانی هست که خلاصه رو قرار دادم.
خوب الان چند سوال پیش میاد:
1- در زمان قرار گیری در دی داس باید لود رم یا سی پی یو بالا بره و به ماکس بچسبه دردسته؟
درصورتی که هیچ لودی رویه سرور نیست بطوری که بدون مشکل در حال کار کرد هست (در لوگهای هیچ مصرف بیش از حدی قرار نداره)

2- تویه آی پی هایی که به سرور ما وصل شده بیشترینش ماله خود هتزنر هست که توسط کسی که سرور برای ما خریداری شده به دیتاسنتر به واحد abuse درخواست دادیم این آی پی ها رو مسدود کنن که فشار میارن به قول خودشون ولی خبری نشده.

3- آی پی هایی که حالا به اصطلاح به ما attack میدن رو کلان رویه سرور مسدود کردیم ولی باز در هر متن دیتاسنتر که واسطمون برامون ارسال میکنه باز همون آی پی ها قرار داره

خوب خلاصه ما این ابیوز هارو به چند تا از همکارامون نشون دادیم گفتن اگه لوگی برای over load بودن سرور وجود نداره پس دی داس نمیتونه باشه و به احتمال زیاد از شبکه خود هتزنر هست.

الان کسی با اینمورد برخورد نکرده؟

[compiler]

با سلام
ما یک سرور از هتزنر خریداری کردیم و دیتاستر متی زیر رو برای ما ارسال کرده:
Dear Sir or Madam

We regret to inform you that your server with the IP address mentioned in the above subject line has been the target of an attack.

As a result, this has placed a considerable strain on network resources and consequently a segment of our network has been very adversely affected.

Your server has therefore been deactivated as a precautionary measure.

A corresponding traffic protocol is attached for your information.

Guidelines regarding further course of action may be found in our wiki:
Leitfaden bei Serversperrung/en – Hetzner DokuWiki

For questions regarding activation, please open a support request via Robot under the menu item "Support; Requests": https://robot.your-server.de/

Yours faithfully

Your Hetzner Support Team

07:11:06.019825 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.43893 > 144.76.19.112.13442: UDP, length 0
07:11:06.020026 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.40149 > 144.76.19.112.13458: UDP, length 0
07:11:06.020167 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.39828 > 144.76.19.112.13443: UDP, length 0
07:11:06.020302 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.53058 > 144.76.19.112.13461: UDP, length 0
07:11:06.020395 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.4.49.46817 > 144.76.19.112.13450: UDP, length 0
07:11:06.020571 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.18.196.55325 > 144.76.19.112.14385: UDP, length
0
07:11:06.020715 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.18.196.55325 > 144.76.19.112.14385: UDP, length
0
07:11:06.020893 00:21c1:ea:4b > c800:be:38:6a, ethertype IPv4
(0x0800), length 60: 176.9.18.196.45152 > 144.76.19.112.14388: UDP, length
0

متن طولانی هست که خلاصه رو قرار دادم.
خوب الان چند سوال پیش میاد:
1- در زمان قرار گیری در دی داس باید لود رم یا سی پی یو بالا بره و به ماکس بچسبه دردسته؟
درصورتی که هیچ لودی رویه سرور نیست بطوری که بدون مشکل در حال کار کرد هست (در لوگهای هیچ مصرف بیش از حدی قرار نداره)

2- تویه آی پی هایی که به سرور ما وصل شده بیشترینش ماله خود هتزنر هست که توسط کسی که سرور برای ما خریداری شده به دیتاسنتر به واحد abuse درخواست دادیم این آی پی ها رو مسدود کنن که فشار میارن به قول خودشون ولی خبری نشده.

3- آی پی هایی که حالا به اصطلاح به ما attack میدن رو کلان رویه سرور مسدود کردیم ولی باز در هر متن دیتاسنتر که واسطمون برامون ارسال میکنه باز همون آی پی ها قرار داره

خوب خلاصه ما این ابیوز هارو به چند تا از همکارامون نشون دادیم گفتن اگه لوگی برای over load بودن سرور وجود نداره پس دی داس نمیتونه باشه و به احتمال زیاد از شبکه خود هتزنر هست.

الان کسی با اینمورد برخورد نکرده؟

بعیده DDos باشه
ممکنه سرور شما توسط یک شلر یا اسکریپت یا وورد آلوده شده باشه....
اولین قدمیکه باید بردارید یک فایروال نصب و کانفیگ حرفه ای کنید .
آنتی ویروس نصب و آپدیت کنید و سیستم رو یک بار اسکن کنید .

ممکنه مشکل خیلی ساده تر از این حرفا باشه .