Сегодня мы зафиксировали чрезвычайно высокий входящий трафик (1 Гбит/с) на нашем Debian Webserver (зеленая диаграмма). В среднем за день он составляет максимум около 20-30 Мбит/с. Брандмауэр и fail2ban настроены правильно и должны работать нормально.
Мы проверили наши файлы журналов и сравнили их с файлами прошлых дней, и не нашли никаких отклонений. Высокий входящий трафик приводит к использованию ЦП на 100 процентов, и наше веб-приложение больше не будет работать.
В чем могут быть причины такого большого входящего трафика? Если это была DDOS-атака, почему в лог-файлах не было подозрительного трафика/IP-адресов?