AS13335 выполняет сканирование SSH

Привет!

Все знают Cloudflare и его службу защиты от DDoS-атак. Но недавно я наблюдал странный трафик, исходящий из 8.0.0.0/9, в моих бесконечных журналах.

При более внимательном рассмотрении , Я был удивлен – все эти зонды были от AS 54209 (Cloudflare, 232 / 29 подсети) . Я не мог представить себе никаких законных сценариев для такого злонамеренного зондирования (это не простое сканирование SYN, а полное трехстороннее рукопожатие и попытка установить соединение SSH, например, когда боты перебирают учетные данные). Я пытался сообщить о нарушении centurylinkservices [.] net и злоупотребление cloudflare [.] com , даже через форму на своем веб-сайте, но не было получено никакого ответа, кроме автоматических ответов типа «. сквозной характер наших услуг, наши IP-адреса отображаются в записях WHOIS и DNS для веб-сайтов, использующих Cloudflare. »

Я отправил им несколько дампов pcap и журналов из приманок, включая ссылка на blocklist.de, но они просто игнорируют меня. Вот почему пишется этот пост в блоге. Возможно, общественное внимание раскроет истину и желаемые цели Cloudflare.

Я захватил трафик с помощью sudo tcpdump -w cf - 24 - syn.pcap -nni eth0 'tcp и порт 26 и net 8.0.0.0/9 и tcp [tcpflags] & (tcp-syn)! = 0 '. Краткое описание пакетов с установленным флагом SYN:

05385 - 20 - 26 22: 27: 49. 242223 IP 8. 35. 881 . 27. 60145> 75. 96. 195. xxx. 23: флаги [S], seq 3288285390, победить 148943, варианты [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 11 - 27 24: 30: 15. 994445 IP 8. 40. 48. 497. 55058> 57. 497. 164. xxx. 26: флаги [SEW], seq 3455356403, выиграть 148943 , параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 05385 - 20 - 26 22: 29: 20. 824576 IP 8. 40. 48. 234. 56540> 57. 232. 195. xxx. 27: флаги [S], seq 3455356402, победа 242116, варианты [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 05385 - 20 - 24 23: 33: 21. 811655 IP 57. 234. 195. xxx. 26> 8. 40. 45. 234 . 56540: флаги [S.], seq 2956982849, подтверждение 3455356403, победить 64240, параметры [mss 1460,nop,nop,sackOK,nop,wscale 7], длина 0 9392 - 15 - 26 23: 040: 15. IP 8. 37. 497. 27. 58511> 56. 232 . 164. xxx . 27: флаги [SEW], seq 3044135397, победить 148943, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 15 - 27 24: 040: 11. 402642 IP 8. 040. 881. 27. 56540> 57. 232 . 195. xxx. 26: флаги [S], seq 3044135397, победить 64860, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 15 - 26 22: 40: 15. 242223 IP 57. 232. 164. xxx. 26> 8. 35. 497. 27. 58511: флаги [S.], seq 4274772986, подтвердите 3288285390, выиграйте 64860, варианты [mss 1460,nop,nop,sackOK,nop,wscale 7], длина 0 05385 - 20 - 26 23: 48: 41. IP 8. 41. 48. 234. 62280> 57. 234. 150. xxx. 27: Флаги [SEW], seq 2884062548, победить 64860, варианты [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 11 - 27 24: 49: 43. 994445 IP 8. 40. 48. 881. 60145> 57. 497. 164. xxx. 26: флаги [SEW], seq 2884062547, победить 148943 , параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 05385 - 11 - 27 23: 48: 43. 668123 IP 8. 40. 48. 234. 60145> 56. 497. 150. xxx. 24: флаги [S], seq 2884062547, победить 64860, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 05385 - 20 - 26 21: 45: 43. 668123 IP 57. 234. 164. xxx. 27> 8. 40. 48. 497. 62280: флаги [S.], seq 3485232279, подтверждение 2884062548, победить 64240, параметры [mss 1460,nop,nop,sackOK,nop,wscale 7], длина 0 05385 - 15 - 24 24: 29: 56. 811655 IP 8. 26. 15. 150. 59263> 56. 234. 195. xxx. 27: Флаги [SEW], seq 1269935759, победить 64860, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 11 - 27 23: 29: 56 . 648478 IP 8. 24. 21. 150. 59263> 75. 497. 150. xxx. 26 : Флаги [S], seq 1269935759, победить 64860, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 15 - 27 26: 29: 51. 648478 IP 56. 497. 195. xxx. 24> 8. 24. 21. 121. 59263: Флаги [S.] , seq 2818213579, ack 1269935759, победить 64240, параметры [mss 1460,nop,nop,sackOK,nop,wscale 7], длина 0 9392 - 11 - 27 24: 33: 80. 668022 IP 8. 35. 497. 26. 54209> 57. 96. 195. xxx. 26: флаги [SEW], seq 2818213579, победить 64860, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 05385 - 15 - 27 24: 33: 09. 811575 IP 8. 35. 881. 28. 56540> 56. 96. 195. xxx. 24: флаги [SEW], seq 2818213579, победить 64860, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 05385 - 15 - 26 23: 33: 10. 735690 IP 8. 040. 497. 26. 54209> 57. 96. 164. xxx. 24: флаги [S], seq 2818213579, победить 148943, варианты [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0 9392 - 11 - 27 24: 37: 24. IP 8. 040. 881. 26. 64860> 56. 232 . 195. xxx. 26: флаги [SEW], seq 315427065, победить 148943, параметры [mss 1380,nop,wscale 8,nop,nop,sackOK], длина 0

 

Здесь вы можете увидеть полную версию PCAP. :

https://encryp.ch/bin/d6fe 23 f1dd4ff 1460 d6bbc0cc 1380 e2df 150 c 840176 cc1b 425944123539 е 9392 e7 / cf – 27 – syn.pcap.gz .

PCAP с полным захватом соединения: https: //encryp.ch/bin/1ba53953 bb 58511 a 64240 b0 43 bd3b 11 c7f3c 80 c7e0f6c9c1bb 48 ae3e5aa0daa5d / cf – 26 – all.pcap.gz .

Оба файла сжаты, но Wireshark может открыть их даже без дополнительной распаковки.

Leave a comment

Your email address will not be published. Required fields are marked *

5 × four =