Hoy registramos un tráfico entrante extremadamente alto (1 Gbps) en nuestro servidor web Debian (gráfico verde). En un día normal, alcanza un máximo de unos 20-30 Mbps. El firewall y fail2ban están configurados correctamente y deberían funcionar bien.
Revisamos nuestros archivos de registro y los comparamos con los de días anteriores y no pudimos encontrar ninguna anomalía. El alto tráfico entrante provoca un uso de CPU del 100 por ciento y nuestra aplicación web ya no funcionará.
¿Cuáles podrían ser las razones de un tráfico entrante tan elevado? Si fue un ataque DDOS, ¿por qué no ha habido ningún tráfico/IP sospechosos en los archivos de registro?