suwubee 大佬有话说 :
公开的railgun节点需要警惕被恶意利用
前阵子开放了免费的railgun节点,有些服务器到期下架了就临时充数,并把enzu美西的一台独服作为主节点。
允许域名的时候也没有做严格的审核,enzu前天给我发了封邮件,说我服务器在对外发包,一开始没理会,以为是railgun的tcp链接有点多。
昨天无聊的时候登录上去一看发现傻眼了。G口被跑满。两天跑了7个T。。。
因为安装的时候没有清空系统,用的centos7,所以开始查端口,查IP。发现通过railgun连接了很多国内的肉鸡,发起了SYN攻击。具体咋操作的我也不懂,不清楚是不是被利用放大了。只要把railgun关了,就停了,一开就跑满。而且railgun日志里看不到网站,只看到tcp连接的IP。
后来就重新搞了个debian,开启了ufw,就看到好多tcp连接被防火墙自动阻止了,Apr 11 10:33:25 localhost kernel: IN=eth0 OUT= MAC=MAC地址 SRC=对方IP DST=本机IP LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=37998 PROTO=TCP SPT=40603 DPT=3377 WINDOW=1024 RES=0x00 SYN URGP=0
enzu的流量图
https://s3.jpg.cm/2020/04/11/6XQ3w.jpg
我自己的监控
https://s3.jpg.cm/2020/04/11/6XeR8.jpg
嗷嗷 大佬有话说 :
太骚了吧
晴晴晴 大佬有话说 :
Mjj.人才多
nicestill 大佬有话说 :
在LOC分享就得做好心理准备
hasamol7468 大佬有话说 :
本帖最后由 hasamol7468 于 2020-4-11 18:46 编辑
卧槽 不会是拿去反射攻击了把。。
我有台机子就是几天7T,只部署了railgun,并没应用
suwubee 大佬有话说 :
hasamol7468 大佬有话说 : 2020-4-11 18:45
卧槽 不会是拿去反射攻击了把。。
我有台机子就是几天7T,只部署了r …
我也没搞懂原理。。。本来想用centos直接屏蔽IP的,后来用了debian竟然直接开ufw就自动屏蔽SYN了。。。
suwubee 大佬有话说 :
nicestill 大佬有话说 : 2020-4-11 18:45
在LOC分享就得做好心理准备
心理准备技术准备都有,就是发出来提醒提醒大家。
hasamol7468 大佬有话说 :
suwubee 大佬有话说 : 2020-4-11 18:47
我也没搞懂原理。。。本来想用centos直接屏蔽IP的,后来用了debian竟然直接开ufw就自动屏蔽SYN了。。。 …
我是centos7 来着 一直没用然后昨天一看 震撼我妈:L
b66667777 大佬有话说 :
暗中围观
西北老汉 大佬有话说 :
超过150就限速的三毛分享出来都能跑300多g
老哥在loc里分享东西要慎重:lol