V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LvMax
V2EX  ›  程序员

电信联通骨干网和阿里腾讯云现在都过滤了 Memcache DDoS 的流量了?

  •  
  •   LvMax · 2018-03-13 20:07:05 +08:00 · 4979 次点击
    这是一个创建于 2447 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这一段时间 Memcache DDos 很火于是自己也按照网上的脚本走了一遍

    • 我先写了一个简易的 py 脚本批量往我找来一堆的 memcache 服务器上 set 几段很大的数据,然后用 github 上 Memcrashed 的脚本吧 payload 设置成\0\x01\0\0\0\x01\0\0gets 我 set 的数据,但是在被攻击端 始终没有异常的流量进来。
    • 试过了打阿里云国际版、腾讯云、GCE 都没有反应。(从一台 EC2 上发包
    •   所以应该是机房拦截了还是说我姿势还是不对?
      
    13 条回复    2018-03-16 14:18:27 +08:00
    tan90
        1
    tan90  
       2018-03-13 20:21:20 +08:00
    就说我们司,这个问题持续了两天,流量直接打满,然后屏蔽了外网对 11211 端口的访问!一下就清静了!
    LvMax
        2
    LvMax  
    OP
       2018-03-13 20:48:39 +08:00
    @tan90 666 公司用的是电信吗?
    nazor
        3
    nazor  
       2018-03-13 20:55:42 +08:00 via iPhone
    普通网络不能进行 ip spoofing,要是能的话就太简单了。
    jimzhong
        4
    jimzhong  
       2018-03-13 21:13:42 +08:00
    LS 正解。LZ 搜一下 reverse path filtering
    anonymoustian
        5
    anonymoustian  
       2018-03-13 21:19:05 +08:00
    @nazor 你好 普通网络不能进行伪造 IP 欺骗发包,那什么网络可以呢?谢谢
    tan90
        6
    tan90  
       2018-03-13 21:32:26 +08:00
    @LvMax IDC 机房!双线!
    LvMax
        7
    LvMax  
    OP
       2018-03-13 21:50:24 +08:00
    @nazor 在那个工具最上面看到两句 warning 说的是
    >>>WARNING: Could not load module netifaces: No module named 'netifaces'
    >>>WARNING: No route found for IPv6 destination :: (no default route?). This affects only IPv6
    难道从 ipv6 打??
    ThirdFlame
        8
    ThirdFlame  
       2018-03-13 21:56:03 +08:00
    你可以试试 自己打自己 看有没有流量回来。如果有流量回来,证明脚本基本正确。
    各大运营商以及各大云都做了虚假源地址过滤,你伪造地址是发布出去的
    nazor
        9
    nazor  
       2018-03-13 22:21:55 +08:00 via iPhone
    nazor
        10
    nazor  
       2018-03-13 22:22:23 +08:00 via iPhone
    @LvMax
    @anonymoustian
    忘记 at 了,上面一条
    ixinshang
        11
    ixinshang  
       2018-03-13 22:44:48 +08:00 via Android
    一周前已接到运营商通知清查这个 然后统一封禁
    LvMax
        12
    LvMax  
    OP
       2018-03-13 23:56:58 +08:00
    @ThirdFlame @nazor 靴靴~
    LvMax
        13
    LvMax  
    OP
       2018-03-16 14:18:27 +08:00
    刚得到一个消息 说一些路由器的 uRPF 机制会纠正源地址 导致攻击失败 应该就是这个原因了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2715 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:40 · PVG 11:40 · LAX 19:40 · JFK 22:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.