全球主机交流论坛

标题: 公开的railgun节点需要警惕被恶意利用 [打印本页]

作者: suwubee 时间: 2020-4-11 18:39
标题: 公开的railgun节点需要警惕被恶意利用
前阵子开放了免费的railgun节点，有些服务器到期下架了就临时充数，并把enzu美西的一台独服作为主节点。
允许域名的时候也没有做严格的审核，enzu前天给我发了封邮件，说我服务器在对外发包，一开始没理会，以为是railgun的tcp链接有点多。
昨天无聊的时候登录上去一看发现傻眼了。G口被跑满。两天跑了7个T。。。

因为安装的时候没有清空系统，用的centos7，所以开始查端口，查IP。发现通过railgun连接了很多国内的肉鸡，发起了SYN攻击。具体咋操作的我也不懂，不清楚是不是被利用放大了。只要把railgun关了，就停了，一开就跑满。而且railgun日志里看不到网站，只看到tcp连接的IP。

后来就重新搞了个debian，开启了ufw，就看到好多tcp连接被防火墙自动阻止了，

Apr 11 10:33:25 localhost kernel: [68620.209898] [UFW BLOCK] IN=eth0 OUT= MAC=MAC地址 SRC=对方IP DST=本机IP LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=37998 PROTO=TCP SPT=40603 DPT=3377 WINDOW=1024 RES=0x00 SYN URGP=0

复制代码

enzu的流量图

我自己的监控

作者: 嗷嗷 时间: 2020-4-11 18:43
太骚了吧 ⁢⁢⁢⁢⁢

作者: 晴晴晴 时间: 2020-4-11 18:44
Mjj.人才多

作者: nicestill 时间: 2020-4-11 18:45
在LOC分享就得做好心理准备

作者: hasamol7468 时间: 2020-4-11 18:45
本帖最后由 hasamol7468 于 2020-4-11 18:46 编辑

卧槽不会是拿去反射攻击了把。。
我有台机子就是几天7T，只部署了railgun，并没应用

作者: suwubee 时间: 2020-4-11 18:47

hasamol7468 发表于 2020-4-11 18:45
卧槽不会是拿去反射攻击了把。。
我有台机子就是几天7T，只部署了r ...

我也没搞懂原理。。。本来想用centos直接屏蔽IP的，后来用了debian竟然直接开ufw就自动屏蔽SYN了。。。

作者: suwubee 时间: 2020-4-11 18:49

nicestill 发表于 2020-4-11 18:45
在LOC分享就得做好心理准备

心理准备技术准备都有，就是发出来提醒提醒大家。

作者: hasamol7468 时间: 2020-4-11 18:50

suwubee 发表于 2020-4-11 18:47
我也没搞懂原理。。。本来想用centos直接屏蔽IP的，后来用了debian竟然直接开ufw就自动屏蔽SYN了。。。 ...

我是centos7 来着一直没用然后昨天一看震撼我妈

作者: b66667777 时间: 2020-4-11 19:00
暗中围观

作者: 西北老汉 时间: 2020-4-11 19:12
超过150就限速的三毛分享出来都能跑300多g
老哥在loc里分享东西要慎重

作者: lenchanlhz 时间: 2020-4-11 19:39
没cfp

作者: suwubee 时间: 2020-4-11 19:52

lenchanlhz 发表于 2020-4-11 19:39
没cfp

签名免费。

作者: Swag 时间: 2020-4-11 20:22
MJJ出征，寸草不生

欢迎光临全球主机交流论坛 (https://loc.193.gs/)

Powered by Discuz! X3.4