入站流量极低和出站流量极高的可能原因是什么？

昨天，我们的Digital Ocean服务器遇到了类似攻击的事件。出站流量突然增加到700Mbps，而入站流量保持在0.1Mbps左右，甚至一次都没有增加。流量持续了几分钟，直到Digital Ocean假设我们正在执行DoS（这是合理的），将服务器从网络上断开为止。

我有两个假设：有人入侵了我们的服务器（在攻击之后，我意识到我的同事启用了使用密码的SSH登录），或者有某种我不知道的攻击。

谁能为我解决这种情况？如果确实有一种DoS流量看起来像这样，请教育我。

一种可能的可能性是放大攻击。例如，如果您运行的是开放式递归DNS解析器（可以使用其他协议），则您会收到一个非常小的UDP数据包，该数据包具有欺骗性的IP地址。然后，您的服务器会生成一个较大的响应，并将其发送给受害者，并认为这是合法请求。

另一种可能性是有人正在从您的网络中窃取数据。如果有人进入您的服务器并卸载了他们可以找到的每个字节，那么看起来也是如此。

没有进行调查就无法知道是哪一个，并且希望发生的一切都留下证据。如果是后者（渗透），那么他们可能会尽最大可能清除其足迹。

我同意扩大攻击的可能性。解决此问题的最简单方法是使用DigitalOcean的免费云防火墙。

仅允许SSH，HTTP和HTTPS入站。如果可能，仅允许从您的受信任IP进行SSH。

您可以使用VM上的防火墙来执行此操作，DO的解决方案更简单。

你应该问数字海洋。他们不仅仅为了高出站流量而关闭服务器：这将关闭大多数服务器。例如，一个托管流行内容的Web服务器。

而是，它们关闭了您的服务器，因为您的流量性质似乎是恶意的。因此，他们可能对这是什么有所了解。

否则，您必须进行自我调查。也许如果主机仍在运行，它仍在尝试发送被Digital Ocean丢弃的流量。在这种情况下，您可以通过数据包转储来观察它。或者，您也许可以在系统日志中找到线索。不幸的是，这可能是一百万种事情中的任何一种，因此推测缺少这种调查的根本原因是徒劳的。