Denunciar abuso e atividade ilegal Você pode denunciar um site do Google se achar que ele viola uma ou mais políticas do programa deles
Meu servidor está sendo atingido por milhares de solicitações de conexão por segundo de 74.125.170.60
. Eu procurei o endereço IP no ARIN e ele está em um bloco de endereços do Google.
You searched for: 74.125.170.60
Network
Net Range 74.125.0.0 - 74.125.255.255
CIDR 74.125.0.0/16
Name GOOGLE
Handle NET-74-125-0-0-1
Parent NET74 (NET-74-0-0-0-0)
Net Type Direct Allocation
Origin AS
Organization Google Inc. (GOGL)
Registration Date 2007-03-13
Last Updated 2012-02-24
Comments
RESTful Link https://whois.arin.net/rest/net/NET-74-125-0-0-1
See Also Related organization's POC records.
See Also Related delegations.
Na página ARIN :
Point of Contact
Name Abuse
Handle ABUSE5250-ARIN
Company Google Inc.
Street 1600 Amphitheatre Parkway
City Mountain View
State/Province CA
Postal Code 94043
Country US
Registration Date 2015-11-06
Last Updated 2016-11-08
Comments Please note that the recommended way to file abuse complaints are located in the following links.
To report abuse and illegal activity: https://www.google.com/intl/en_US/goodtoknow/online-safety/reporting-abuse/
For legal requests: http://support.google.com/legal
Regards,
The Google Team
Phone +1-650-253-0000 (Office)
Email [email protected]
RESTful Link https://whois.arin.net/rest/poc/ABUSE5250-ARIN
Tentei acessar o URL indicado e obtive um 404 erro. Eu tentei ligar para o número do telefone e recebi uma voz boppy dizendo "nossos escritórios estão fechados agora, tente nos alcançar através da Web".
Enviei um email para [email protected]
e não obtive resposta. Tentei anexar um arquivo de log (9,4 MB de uma saída tcpdump
filtrada por cerca de um minuto, bzip2
compactado a 719K) e os servidores do Google se recusaram a aceitar o e-mail.
Eu tentei ligar para a Verizon (meu provedor) e depois de meia hora no telefone com sua pessoa de "suporte técnico", tudo o que eles puderam sugerir foi tentar bloquear o tráfego no meu roteador, o que não é melhor do que bloqueá-lo com o firewall no meu servidor como eu já estou fazendo. Eu tentei dizer à pessoa de "suporte técnico" que eu precisava falar com alguém em seu NOC, mas depois que ela me colocou em espera e voltou, ela estava dizendo "podemos dizer-lhe como entrar em contato com o fabricante do roteador ... "
Existe uma maneira de eu alcançar alguém na camada IP da Internet que possa bloquear esse tráfego?
Existe uma maneira eficaz de entrar em contato com alguém no Google que pode deixar o servidor de ataque off-line?
O Google não deveria ter informações atuais e corretas em seus registros no ARIN?
EDITAR
Eu usei tcpdump | grep "74.125.170.60" > ~/history/2017-08-18.74.125.170.60.attack.tcpdump
por um curto período para criar um arquivo de log durante o ataque. Todas as entradas foram direcionadas para um domínio específico, que eu editei para example.com
, ou para o próprio servidor ( Dreamer
). Aqui estão as primeiras linhas do arquivo:
00:35:47.900785 IP 74.125.170.60.60032 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.902549 IP 74.125.170.60.42109 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.903630 IP 74.125.170.60.25048 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.903702 IP 74.125.170.60.3412 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.904296 IP 74.125.170.60.35736 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.905065 IP 74.125.170.60.59975 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.905280 IP 74.125.170.60.38738 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.906168 IP 74.125.170.60.38518 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.907055 IP 74.125.170.60.rmc > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.908191 IP 74.125.170.60.35290 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.908845 IP 74.125.170.60.16059 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.908938 IP 74.125.170.60.40717 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.909064 IP 74.125.170.60.48521 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.909359 IP 74.125.170.60.42772 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.909526 IP 74.125.170.60.61289 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.909598 IP 74.125.170.60.340 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.909600 IP 74.125.170.60.31228 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.909974 IP 74.125.170.60.28242 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.910306 IP 74.125.170.60.36920 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.910974 IP 74.125.170.60.44033 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.911100 IP 74.125.170.60.63473 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.911695 IP 74.125.170.60.54654 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.912019 IP 74.125.170.60.32781 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.912101 IP 74.125.170.60.20249 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.912741 IP 74.125.170.60.16639 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.913240 IP 74.125.170.60.7023 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.913364 IP 74.125.170.60.20280 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.913546 IP 74.125.170.60.58903 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.913616 IP 74.125.170.60.18014 > Dreamer.domain: 1+ TXT? github.com. (28)
00:35:47.914039 IP 74.125.170.60.32919 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.914293 IP 74.125.170.60.63457 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.915976 IP 74.125.170.60.39601 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.916640 IP 74.125.170.60.7574 > example.com.domain: 1+ TXT? github.com. (28)
00:35:47.916711 IP 74.125.170.60.6825 > Dreamer.domain: 1+ TXT? github.com. (28)
e as últimas linhas:
00:37:40.604887 IP 74.125.170.60.35576 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.605636 IP 74.125.170.60.100 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.605708 IP 74.125.170.60.15556 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.606242 IP 74.125.170.60.37610 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.607702 IP 74.125.170.60.33095 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.608644 IP 74.125.170.60.3311 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.610756 IP 74.125.170.60.25304 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.611034 IP 74.125.170.60.50931 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.611152 IP 74.125.170.60.38218 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.611731 IP 74.125.170.60.2596 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.612352 IP 74.125.170.60.35744 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.613339 IP 74.125.170.60.5825 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.615193 IP 74.125.170.60.10612 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.615872 IP 74.125.170.60.57806 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.616334 IP 74.125.170.60.25388 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.616438 IP 74.125.170.60.55827 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.616948 IP 74.125.170.60.35459 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.617421 IP 74.125.170.60.38407 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.618087 IP 74.125.170.60.18918 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.618260 IP 74.125.170.60.9969 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.618332 IP 74.125.170.60.65190 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.618333 IP 74.125.170.60.6016 > example.com.domain: 1+ TXT? github.com. (28)
00:37:40.618674 IP 74.125.170.60.37720 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.621551 IP 74.125.170.60.55976 > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.621810 IP 74.125.170.60.mac-srvr-admin > Dreamer.domain: 1+ TXT? github.com. (28)
00:37:40.623893 IP 74.125.170.60.7383 > Dreamer.domain: 1+ TXT? github.com. (28)
Eu fiz uma contagem de linha no arquivo:
wc -l 2017-08-18.74.125.170.60.attack.tcpdump
111894 2017-08-18.74.125.170.60.attack.tcpdump
Como você pode ver, 111.894 ocorrências ocorreram durante os 112,723108 segundos em que o arquivo estava sendo gravado, o que é uma média de aproximadamente 992,645 hits por segundo . Eu descobri o problema aproximadamente às 11:25 pm EDT, e ainda estava por volta das 5:15 da manhã quando I caiu de exaustão. Eu não tenho nenhuma razão para acreditar que esta taxa estava subindo ou descendo, o que significa que meu servidor estava sendo atacado em aproximadamente 21 milhões de vezes durante o intervalo de quase seis horas enquanto eu assistia .
Quando voltei ao meu servidor algumas horas depois, o ataque havia parado. Eu fiz não receber qualquer tipo de resposta ou confirmação do e-mail que enviei para [email protected]
, então não tenho ideia se o Google fez alguma coisa para pará-lo ou se foi apenas foi embora sozinho. Suspeito que o que aconteceu é que alguém configurou um "dispositivo mal-intencionado" no serviço do Google Cloud para realizar o ataque. Como e por que parou, no entanto, é completamente incerto, dada a escassez absoluta de feedback do provedor.
Estou chocado que um ataque como este pode ser configurado e executado sem recurso porque não há canal de comunicação disponível para relatar esses problemas, seja na origem ou na rede entre lá e aqui.
Denunciar abuso e atividade ilegal Você pode denunciar um site do Google se achar que ele viola uma ou mais políticas do programa deles