Последние пару дней у меня происходили несколько странных небольших DDoS-атак на разные VPS, которые у меня есть в сети.
Первый, который я обнаружил с помощью netstat, я заметил несколько IP-адресов из другого региона (в результате чего был Сингапур), поэтому я использовал ufw deny from x.y.0.0/16 чтобы заблокировать всю подсеть, поскольку она изменялась на последних 2 числах. Это сработало.
Сегодня у меня такая же проблема на совершенно другом VPS, но на этот раз помимо IP есть еще несколько адресов, которые говорят, например miami-1.octovpn.net (в данном случае это реальная ценность). В этом случае я заблокировал диапазон IP-адресов, но я не уверен, как заблокировать доступ к сайту для домена с подстановочными знаками с помощью ufw.
Я подумал о чем-то вроде:
ufw deny from *.octovpn.net
Но команда вернулась ERROR: Bad source address.
Любые идеи?
Мы не атаковали вас, однако, если вы посмотрите на пакеты, которые вы получили, это был SYN_RECV. Эти пакеты легко подделать.
Вы используются как отражатель атаковать нас, а не наоборот.
Не существует верного способа остановить это, если вас используют в качестве отражателя, из-за того, как работает TCP. Вы можете заблокировать наши диапазоны, однако злоумышленники по-прежнему будут использовать вас в качестве отражателя для атак на другие службы.
Вы можете прочитать больше об этом здесь: https://octovpn.com/tcpamp
Нам пришлось создать эту страницу, поскольку мы видели огромное количество атак, исходящих от "TCP-AMP", где удаленные службы TCP используются в качестве отражателей. Администраторы серверов думали, что мы атакуем их, но все было наоборот.
Может быть
nslookup miami-1.octovpn.net
давая
Имя: miami-1.octovpn.net
Адрес: 45.77.95.134
С этим адресом сделайте
whois 45.77.95.134
что приводит к
NetRange: 45.76.0.0 - 45.77.255.255
CIDR: 45.76.0.0/15
Теперь вы можете использовать знакомые
ufw deny from 45.76.0.0/15
Риск, которым вы подвергаетесь, заключается в блокировке больше, чем необходимо, потому что владельцем этого диапазона IP-адресов не является octovpn.net
Обновить: Я пропустил вторую часть ответа whois, которая показывает подмножество диапазона IP-адресов.
NetRange: 45.77.94.0 - 45.77.95.255
CIDR: 45.77.94.0/23
Это позволяет сузить диапазон блокировки до
ufw deny from 45.77.94.0/23