公开的railgun节点需要警惕被恶意利用

suwubee

前阵子开放了免费的railgun节点，有些服务器到期下架了就临时充数，并把enzu美西的一台独服作为主节点。
允许域名的时候也没有做严格的审核，enzu前天给我发了封邮件，说我服务器在对外发包，一开始没理会，以为是railgun的tcp链接有点多。
昨天无聊的时候登录上去一看发现傻眼了。G口被跑满。两天跑了7个T。。。

因为安装的时候没有清空系统，用的centos7，所以开始查端口，查IP。发现通过railgun连接了很多国内的肉鸡，发起了SYN攻击。具体咋操作的我也不懂，不清楚是不是被利用放大了。只要把railgun关了，就停了，一开就跑满。而且railgun日志里看不到网站，只看到tcp连接的IP。

后来就重新搞了个debian，开启了ufw，就看到好多tcp连接被防火墙自动阻止了，

1. Apr 11 10:33:25 localhost kernel: [68620.209898] [UFW BLOCK] IN=eth0 OUT= MAC=MAC地址 SRC=对方IP DST=本机IP LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=37998 PROTO=TCP SPT=40603 DPT=3377 WINDOW=1024 RES=0x00 SYN URGP=0

复制代码

enzu的流量图


我自己的监控

嗷嗷

太骚了吧 ⁢⁢⁢⁢⁢

晴晴晴

Mjj.人才多

nicestill

在LOC分享就得做好心理准备

hasamol7468

​卧​槽 ​不​会​是​拿​去​反​射​攻​击​了​把。。   ​​​​
我有台机子就是几天7T，只部署了railgun，并没应用

suwubee

hasamol7468 发表于 2020-4-11 18:45
​卧​槽 ​不​会​是​拿​去​反​射​攻​击​了​把。。   ​​​​
我有台机子就是几天7T，只部署了r ...

我也没搞懂原理。。。本来想用centos直接屏蔽IP的，后来用了debian竟然直接开ufw就自动屏蔽SYN了。。。

suwubee

nicestill 发表于 2020-4-11 18:45
在LOC分享就得做好心理准备

心理准备技术准备都有，就是发出来提醒提醒大家。

hasamol7468

suwubee 发表于 2020-4-11 18:47
我也没搞懂原理。。。本来想用centos直接屏蔽IP的，后来用了debian竟然直接开ufw就自动屏蔽SYN了。。。 ...

​我​是centos7 ​来​着 ​一​直​没​用​然​后​昨​天​一​看 ​震​撼​我​妈   ​​​​

b66667777

暗中围观

西北老汉

超过150就限速的三毛分享出来都能跑300多g
老哥在loc里分享东西要慎重