Heute haben wir auf unserem Debian-Webserver extrem hohen eingehenden Datenverkehr (1 Gbps) verzeichnet (grünes Diagramm). An einem durchschnittlichen Tag liegt er bei maximal 20-30 Mbps. Firewall und Fail2Ban sind richtig konfiguriert und sollten einwandfrei funktionieren.
Wir haben unsere Logdateien überprüft und mit denen der letzten Tage verglichen und konnten keine Auffälligkeiten feststellen. Der hohe eingehende Datenverkehr führt zu einer CPU-Auslastung von 100 Prozent und unsere Webanwendung funktioniert nicht mehr.
Was könnten die Gründe für einen so hohen eingehenden Datenverkehr sein? Wenn es sich um einen DDOS-Angriff handelte, warum waren in den Protokolldateien kein verdächtiger Datenverkehr/keine verdächtigen IPs enthalten?