0x42
Форумчанин
- Регистрация
- 05.05.2025
- Сообщения
- 105
- Реакции
- 60
Недавно была ддос на один IP-адрес, получил автожалобу:
Что якобы мой сервер атакует сайты, в логах жалобы было что-то такое:
The IP address ****** (RU/Russia/Moscow/Moscow/******) was found attacking firewall on bonadea.desvet.com.br 11 times in the last 3600 seconds.
Attached is an X-ARF report (see
Abuse Contact for ******: [abuse@******]
The Abuse Contact of this report was provided by the Abuse Contact DB by abusix.com. abusix.com does not maintain the content of the database. All information which we pass out, derives from the RIR databases and is processed for ease of use. If you want to change or report non working abuse contacts please contact the appropriate RIR. If you have any further question, contact abusix.com directly via email (info@abusix.com). Information about the Abuse Contact Database can be found here:
abusix.com is neither responsible nor liable for the content or accuracy of this message.
Мне стало интересно и я провел расследование:
На-что обратить внимание:
В логе TTL=247.
TTL (Time To Live) — это поле в IP-пакете, которое определяет, сколько "прыжков" (hops) через маршрутизаторы может сделать пакет, прежде чем он будет отброшен.
Каждый раз, когда пакет проходит через маршрутизатор (роутер), TTL уменьшается на 1.
Когда TTL становится 0, пакет удаляется, чтобы он не гулял бесконечно по сети (защита от петель маршрутизации).
Проверяем TTL сервера:
Опачки TTL=58 а в логе TTL=247.
Почему такое происходит:
Как связаны DDoS и «жалоба с другого сервера»
1.Боты шлют SYN-флуд на *****, подменяя поле SRC IP любыми адресами (иногда берут целый диапазон, куда чуть позже полетят жалобы).
Ваш сервер задыхается от входящих SYN.
2.Ваш сервер отвечает каждому SYN (SYN-ACK или RST). Эти ответы идут с вашего реального IP ***** → к «подставленным» адресам. Люди по тем адресам видят трафик от вас и считают, что вы их атакуете.
3.У кого-то из них стоит жёсткий файрвол + авто-абуза (CSF). Он пишет строки «TCP_IN Blocked SRC=***** DPT=22» и шлёт жалобу хостеру.
Вы получаете письмо «ваш сервер сканирует SSH».
Если нет реакции, то хостинг блокирует сервер.)
Это называется IP spoofing.
Отписал это в ответном письме на жалобу, но неприятно, что если заддосить не получилось, так сервер могут заблокировать по жалобе.)
Надоели эти автоабузы.
Что якобы мой сервер атакует сайты, в логах жалобы было что-то такое:
The IP address ****** (RU/Russia/Moscow/Moscow/******) was found attacking firewall on bonadea.desvet.com.br 11 times in the last 3600 seconds.
Attached is an X-ARF report (see
http://www.xarf.org/specification.html) and the original log report that triggered this block.Abuse Contact for ******: [abuse@******]
The Abuse Contact of this report was provided by the Abuse Contact DB by abusix.com. abusix.com does not maintain the content of the database. All information which we pass out, derives from the RIR databases and is processed for ease of use. If you want to change or report non working abuse contacts please contact the appropriate RIR. If you have any further question, contact abusix.com directly via email (info@abusix.com). Information about the Abuse Contact Database can be found here:
https://abusix.com/global-reporting/abuse-contact-dbabusix.com is neither responsible nor liable for the content or accuracy of this message.
Код:
Jul 3 14:34:00 bonadea kernel: Firewall: *TCP_IN Blocked* IN=enp8s0f0 OUT= MAC=***** SRC=***** DST=****** LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=55574 PROTO=TCP SPT=15906 DPT=22 WINDOW=53270 RES=0x00 SYN URGP=0Мне стало интересно и я провел расследование:
На-что обратить внимание:
В логе TTL=247.
TTL (Time To Live) — это поле в IP-пакете, которое определяет, сколько "прыжков" (hops) через маршрутизаторы может сделать пакет, прежде чем он будет отброшен.
Простой пример
Каждый раз, когда пакет проходит через маршрутизатор (роутер), TTL уменьшается на 1.
Когда TTL становится 0, пакет удаляется, чтобы он не гулял бесконечно по сети (защита от петель маршрутизации).
Как это работает
- ОС (например, Linux) при отправке ставит начальный TTL, обычно:
- 64 — в Linux, Android, FreeBSD
- 128 — Windows
- 255 — Cisco/IoT-устройства, маршрутизаторы
- Каждый маршрутизатор (в том числе провайдерский) снижает TTL на 1.
- TTL в ответном пакете показывает сколько хопов прошёл пакет, т.е. сколько устройств между вами и целью.
Проверяем TTL сервера:
Код:
ping -c1 1.1.1.1 | grep ttl=
64 bytes from 1.1.1.1: icmp_seq=1 ttl=58 time=1.30 msОпачки TTL=58 а в логе TTL=247.
Почему такое происходит:
Как связаны DDoS и «жалоба с другого сервера»
1.Боты шлют SYN-флуд на *****, подменяя поле SRC IP любыми адресами (иногда берут целый диапазон, куда чуть позже полетят жалобы).
Ваш сервер задыхается от входящих SYN.
2.Ваш сервер отвечает каждому SYN (SYN-ACK или RST). Эти ответы идут с вашего реального IP ***** → к «подставленным» адресам. Люди по тем адресам видят трафик от вас и считают, что вы их атакуете.
3.У кого-то из них стоит жёсткий файрвол + авто-абуза (CSF). Он пишет строки «TCP_IN Blocked SRC=***** DPT=22» и шлёт жалобу хостеру.
Вы получаете письмо «ваш сервер сканирует SSH».
Если нет реакции, то хостинг блокирует сервер.)
Это называется IP spoofing.
Отписал это в ответном письме на жалобу, но неприятно, что если заддосить не получилось, так сервер могут заблокировать по жалобе.)
Надоели эти автоабузы.
