DDoS / botnet ou o que está acontecendo, cloudflare.com?

Question

DDoS / botnet ou o que está acontecendo, cloudflare.com?

#1 resposta do (0 votos)

0

Esta é uma pequena saída de tcpdump -i re1 'port 25' :

14:00:10.732034 IP cf-190-93-254-113.cloudflare.com.http > MY_IP.smtp: S 4234708404:4234708404(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
14:00:10.747464 IP cf-190-93-252-90.cloudflare.com.http > MY_IP.smtp: S 2396112716:2396112716(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
14:00:10.790744 IP cf-190-93-255-113.cloudflare.com.http > MY_IP.smtp: S 1218828436:1218828436(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
14:00:10.804055 IP cf-190-93-254-113.cloudflare.com.http > MY_IP.smtp: S 1973146744:1973146744(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>

Ou esta saída de tcpdump -n src net 190.93.0.0/16 :

13:59:14.388684 IP 190.93.254.113.80 > MY_IP.25: S 2997821316:2997821316(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.394882 IP 190.93.254.113.80 > MY_IP.110: S 3076994870:3076994870(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.407414 IP 190.93.252.90.80 > MY_IP.25: S 943264969:943264969(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.416960 IP 190.93.255.113.80 > MY_IP.110: S 3406738447:3406738447(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.435186 IP 190.93.255.113.80 > MY_IP.25: S 1205583072:1205583072(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.460652 IP 190.93.254.113.80 > MY_IP.25: S 4135984739:4135984739(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>

Eu não sou usuário de cloudflare.com .

Eu quero saber o que está acontecendo ????

cloudflare.com foi invadido ou ... ???

Eu adicionei esses IPs às regras de firewall e pedi ao meu provedor para filtrar esse tráfego, mas não consigo entender ...

denial-of-service

por none 25.11.2014 / 14:23

1 resposta

Tags denial-of-service

O Firefox pede para ativar o Adobe Acrobat apesar de “Sempre ativar” ativado Acesso primeiro ao GRUB na inicialização dupla com o WINDOWS 8

score 0 · Answer 1

Não há muito que você possa dizer com certeza.

As portas 25 e 110 são serviços SMTP e POP3, respectivamente.

Se você (ou um colega) não tiver configurado algum tipo de front-end de webmail em uma conta do Cloudflare, imagino que um cliente da Cloudflare ou um software invadido por alguém que invadiu a conta / aplicativos deles está tentando quebrar em um servidor de e-mail em seu endereço IP.

Os IPs de origem variam, o que poderia ser apenas um recurso da interconexão da Cloudflare ou pode significar que realmente existem várias fontes (vários clientes distintos da Cloudflare - talvez todos usando o Cloudflare fornecessem aplicativos com uma vulnerabilidade comum).

S significa SYN. Essa é a primeira parte do handshake de três vias usado para estabelecer uma conexão TCP. Como sua saída não mostra nenhuma evidência de continuação, parece que você não tem nenhum serviço escutando nessas portas.

Para obter uma resposta melhor, você precisa entrar em contato com o suporte do Cloudflare.