使用 ufw 阻止用户通过特定 vpn 访问我的服务器

使用 ufw 阻止用户通过特定 vpn 访问我的服务器

最近几天,我在线的不同 VPS 遭遇了一些奇怪的小型 DDoS 攻击。

第一个我用 netstat 检测,发现一堆 IP 来自不同的地区(结果是新加坡),所以我曾经ufw deny from x.y.0.0/16封锁整个子网,因为它的最后 2 个数字不同。这很有效。

现在,我在完全不同的 VPS 上遇到了同样的问题,只是这次除了 IP 之外,还有一些地址显示为例如miami-1.octovpn.net(在本例中为真实值)。在这种情况下,我阻止了 IP 范围,但我不知道如何使用 ufw 阻止通配符域访问网站。

我想到了一些类似的事情:

ufw deny from *.octovpn.net

但命令返回了ERROR: Bad source address

有任何想法吗?

答案1

您尚未受到我们的攻击,但是如果您查看收到的数据包,就会发现它是 SYN_RECV。这些数据包很容易被欺骗。

被用作反射器攻击我们,而不是相反。

由于 TCP 的工作方式,一旦您被用作反射器,就没有真正的方法可以阻止这种情况。您可以做的是阻止我们的范围 - 但是,攻击者仍会将您用作反射器来攻击其他服务。

你可以在这里读更多关于它的内容:https://octovpn.com/tcpamp

我们不得不创建此页面,因为我们发现来自“TCP-AMP”的攻击数量大幅增加,其中远程 TCP 服务被用作反射器。服务器管理员认为我们正在攻击他们,但事实并非如此。

答案2

或许

nslookup miami-1.octovpn.net

给予

名称:miami-1.octovpn.net
地址:45.77.95.134

使用此地址,执行

whois 45.77.95.134

结果是

网络范围:45.76.0.0 - 45.77.255.255
CIDR:45.76.0.0/15

现在您可以使用熟悉的

ufw deny from 45.76.0.0/15

您所面临的风险是,阻止的次数超出了必要范围,因为此 IP 范围的所有者不是 octovpn.net


更新:我错过了 whois 答案的第二部分,它显示了 IP 范围的子集

网络范围:45.77.94.0 - 45.77.95.255
CIDR:45.77.94.0/23

这样可以将阻塞范围缩小到

ufw deny from 45.77.94.0/23

相关内容