最近几天,我在线的不同 VPS 遭遇了一些奇怪的小型 DDoS 攻击。
第一个我用 netstat 检测,发现一堆 IP 来自不同的地区(结果是新加坡),所以我曾经ufw deny from x.y.0.0/16
封锁整个子网,因为它的最后 2 个数字不同。这很有效。
现在,我在完全不同的 VPS 上遇到了同样的问题,只是这次除了 IP 之外,还有一些地址显示为例如miami-1.octovpn.net
(在本例中为真实值)。在这种情况下,我阻止了 IP 范围,但我不知道如何使用 ufw 阻止通配符域访问网站。
我想到了一些类似的事情:
ufw deny from *.octovpn.net
但命令返回了ERROR: Bad source address
。
有任何想法吗?
答案1
您尚未受到我们的攻击,但是如果您查看收到的数据包,就会发现它是 SYN_RECV。这些数据包很容易被欺骗。
你被用作反射器攻击我们,而不是相反。
由于 TCP 的工作方式,一旦您被用作反射器,就没有真正的方法可以阻止这种情况。您可以做的是阻止我们的范围 - 但是,攻击者仍会将您用作反射器来攻击其他服务。
你可以在这里读更多关于它的内容:https://octovpn.com/tcpamp
我们不得不创建此页面,因为我们发现来自“TCP-AMP”的攻击数量大幅增加,其中远程 TCP 服务被用作反射器。服务器管理员认为我们正在攻击他们,但事实并非如此。
答案2
或许
nslookup miami-1.octovpn.net
给予
名称:miami-1.octovpn.net
地址:45.77.95.134
使用此地址,执行
whois 45.77.95.134
结果是
网络范围:45.76.0.0 - 45.77.255.255
CIDR:45.76.0.0/15
现在您可以使用熟悉的
ufw deny from 45.76.0.0/15
您所面临的风险是,阻止的次数超出了必要范围,因为此 IP 范围的所有者不是 octovpn.net
更新:我错过了 whois 答案的第二部分,它显示了 IP 范围的子集
网络范围:45.77.94.0 - 45.77.95.255
CIDR:45.77.94.0/23
这样可以将阻塞范围缩小到
ufw deny from 45.77.94.0/23