DDOS атака на VPS с VLESS+REALITY

xX_RUP3R7_P4UL50N_Xx · January 6, 2025, 7:20pm

Интересно… Помимо бразильцев, пошла куча запросов с айпишников MTS из разных регионов. Связанно ли это как-то с их сегодняшними траблами?

P.s. получил их командой sudo timeout 15s tcpdump -nq -f "port 443 and inbound and tcp[tcpflags] & (tcp-syn) != 0" | awk '{print $3}' | cut -d'.' -f1-4 | sort | uniq

Скрин

Список

142.250.185.206
142.250.186.142
142.250.186.42
142.250.186.65
170.81.236.137
170.81.236.156
170.81.236.167
170.81.236.195
170.81.236.253
170.81.237.187
170.81.237.24
170.81.237.37
170.81.237.87
170.81.238.112
170.81.238.179
170.81.239.183
170.81.239.188
170.81.239.198
170.81.239.53
212.188.16.123
212.188.16.132
212.188.16.161
212.188.16.183
212.188.16.19
212.188.16.199
212.188.16.201
212.188.16.205
212.188.16.213
212.188.16.225
212.188.16.240
212.188.16.63
212.188.16.70
212.188.16.91
212.188.42.131
212.188.42.154
212.188.42.216
212.188.42.233
212.188.42.243
213.87.46.109
213.87.46.194
213.87.46.215
213.87.46.220
213.87.46.82
213.87.75.111
213.87.75.139
213.87.75.14
213.87.75.155
213.87.75.198
213.87.75.244
213.87.75.249
213.87.75.31
213.87.75.64
213.87.75.87
216.58.206.42
80.77.172.12
80.77.172.15
80.77.172.16

skyrunner · January 6, 2025, 7:28pm

Ещё интересней

dyxiwiny · January 6, 2025, 7:30pm

Информация не новая))

skyrunner · January 6, 2025, 7:58pm

Но вы уже не 1)

xX_RUP3R7_P4UL50N_Xx · January 6, 2025, 8:25pm

Минимальные правки для улучшения работы сервера в данной ситуации:

sudo nano /etc/sysctl.conf

# BBR для улучшения пропускной способности
net.ipv4.tcp_congestion_control = bbr
net.core.default_qdisc = fq

# Противодейсивме SYN-атакам
net.ipv4.tcp_syncookies = 1

# Противодейсивме Smurf-атакам
net.ipv4.icmp_echo_ignore_broadcasts = 1

Upd. убрал лишние (не работающие) рекомендации

Upd.2 убрал дублирующиеся / лишние параметры, т.к. зачастую по умолчанию в системе уже стоят оптимальные

No_nameuser · January 6, 2025, 9:05pm

Зарегался чтобы отписать
Решил проверить, и тоже много бразильских ip-шников
Как пример:
170.81.236.115
170.81.236.138
170.81.236.45
170.81.237.0
170.81.237.227
170.81.237.5
170.81.238.114
170.81.238.122
170.81.238.209
170.81.238.47
170.81.239.42
170.81.239.70
170.81.239.85
170.81.236.140
170.81.236.178
170.81.236.22
170.81.237.0
170.81.237.133
170.81.237.214
170.81.237.47
170.81.238.207
170.81.238.222
170.81.238.32

Отравил их сразу по подсетям в бан, интересно что не на всех vps такое, только на некоторых, где-то вообще пусто
Панели никакие не использую, голый xray-core с Vless+Reality с маскировкой под свой домен и на некоторых VLESS +XTLS -Vision тоже с маскировкой под свой домен

rewhat · January 6, 2025, 10:54pm

Подтверждаю, у меня абсолютно тоже самое. Спасибо всем за советы, сделал конфиг, забанил айпишники, даже Ютуб быстрее стал грузить вроде

0ka · January 7, 2025, 4:27am

Вы делаете хуже/так же как и по дефолту. (Да и некоторые параметры ниже тоже хуже дефолтных и даже не относятся к отражению флуда, например про буферы, fastopen, mtu probing, slow start). То что происходит в теме на атаку вообще не походит, просто флуд, неизвестно только зачем он

wsvall · January 7, 2025, 2:15pm

тоже самое

чпок

wsvall · January 7, 2025, 3:16pm

Ребята, а как подсеть забанить, ввожу
sudo ufw insert 1 deny from 170.81.0.0/16
sudo ufw reload
все равно прет от них трафик.

У меня xray в docker, что еще ввести?

Anonimno · January 7, 2025, 3:17pm

У вас через VPS данные с торрент-клиента не пересылаются ли на анонсеры или DHT (не путать с “соединение с пиром”)?
Есть раздача, на которой много бразильцев присутствует. Отдача им не идет, но в обмене данными присутствуют постоянно.

Снимок экрана

ps: в результатах tcpdump -n -f "port 443 and inbound and tcp[tcpflags] & (tcp-syn) != 0" был в том числе мой ip провайдера.

dyxiwiny · January 7, 2025, 6:13pm

Если правильно понял вопрос, то я вообще не использую торрент с впном

Потому что эта команда выводит информацию о всех входящих TCP пакетах на порт 443 с флагом SYN, среди которых могут быть и ваши соединения

Anonimno · January 7, 2025, 6:56pm

Про эти параметры писал, в разных торрент-клиентах может быть по разному.

Спойлер

Пару ip глазами “поймал” из списка tcpdump и в торрент-клиенте.

xX_RUP3R7_P4UL50N_Xx · January 7, 2025, 7:30pm

Понял, благодарю за замечания (сам в этой сфере можно сказать новичок-самоучка, многого не понимаю как следует, а ChatGPT больно часто ошибается), поправил коммент и оставил только оптимально-минимальные параметры.

Насколько я понимаю это нормально. При добавлении адреса в блэклист трафик от него всё-рано продолжает поступать, но дальше файервола он никуда идёт (сужу в том числе и по своим настройкам в iptables, в котором видно сколько трафика было заблокировано с определённых адресов).

Точно не скажу, но неделю-две назад качал через торрент в качестве эксперимента парочку раздач, как раз со включенным DHT, поиском локальных пиров и т.д. (хостер VPS такой трафик разрешает, а мой ОпСоС в свою очередь блокирует торренты в любом виде). Вот только не помню, чтобы на тех раздачах присутствовали бразильцы.

BTW, мне кажется что в причинах данного флуда РКН всё-же не при чём, слишком странно для них это выглядит.

throwaway1 · January 7, 2025, 8:45pm

Подтверждаю, у меня на сервере тоже самое происходит, сначало шло с 177.0.0.0/8 и 170.81.0.0/16 , боролся просто заблокировав эти подсети через iptables:

iptables -t raw -A PREROUTING -s 170.81.0.0/16 -j DROP
iptables -t raw -A PREROUTING -s 177.0.0.0/8 -j DROP

Но теперь они вообще с абсолютно разных подсетей дудосят, что с этим делать не знаю, мне к сожалению не хватает знаний.

Screenshot

UPD:
Чуть более конкретные подсети:

177.128.0.0/16
177.72.0.0/16

tcpdump

177.128.120.115
177.128.120.228
177.128.120.37
177.128.121.242
177.128.121.58
177.128.121.75
177.128.122.117
177.128.122.143
177.128.122.196
177.128.122.208
177.128.122.39
177.128.123.152
177.128.123.155
177.128.123.238
177.128.123.6
177.128.123.65
177.128.123.99
177.72.152.122
177.72.152.140
177.72.152.158
177.72.152.17
177.72.152.178
177.72.152.98
177.72.153.100
177.72.153.156
177.72.153.185
177.72.153.253
177.72.153.66
177.72.154.113
177.72.154.138
177.72.154.180
177.72.154.187
177.72.154.49
177.72.154.73
177.72.155.0
177.72.155.113
177.72.155.28
177.72.155.60

xX_RUP3R7_P4UL50N_Xx · January 7, 2025, 10:15pm

Как вариант - установить GeoIP модуль и блокировать все подключения из Бразилии / всех стран, кроме России + США + Европы + *страны расположения самого сервера*

1unknown · January 7, 2025, 11:15pm

У меня в управлении четыре сервера у хостера H2NEXUS.
На три из них идёт такая «спам» атака с подсетей 177.0.0.0 и ряда других которые тут указывали.
И самое важное - на них как раз есть 3X-UI.
На которого нет атаки - не установлен 3X-UI.

Чем грозит в теории такие сканы кроме нагрузки на процессор/скорость сервера?

Если такими атаками можно найти сервера для взлома и дальнейшей эксплуатации, то видимо кто-то решил просканировать интернет для расширения своей базы «ботнетов».

wsvall · January 8, 2025, 10:42am

Порт панели доступен на внешке?
У меня закрыт, хожу на нее по ssh, но все равно ддосят.

abc555 · January 8, 2025, 11:31am

Если есть возможность, то заблокируйте весь icmp трафик у себя на сервере, по типу
в raw_prerouting
iifname “eth0.2” ip protocol icmp drop
и в raw_output
oifname “eth0.2” ip protocol icmp drop
а так же на вход, выход и переадресацию
это вас избавит от многих проблем, но если нет такой возможности, то значит вам не повезло )
Конечно если захотят, то начнут использовать и другие пути, но это ведь надо захотеть, а с другой стороны зачем, если и так полно всего, то вероятность что отвяжутся, ну или оставят на закуску, так, чисто для тренировки )

1unknown · January 8, 2025, 12:51pm

Закрыт везде, тоже только по ssh.