Ботнет на подсеть /22, /21, /20?

Question

[kpalagin]

Всем привет.

Часто вижу в логах роутера как из одной подсети происходят попытки обращения на порт 443, причем по обоим адресам роутера (разные провайдеры).
Обращения происходят несколько раз в секунду с разных адресов в одной подсети на протяжении десятков минут.
пример на скрине

Через какое-то время начинается атака из другой подсети, потом из третьей и так далее.
Вопросы:
1. что за трэш у провайдера происходит, если ботнетом захвачена значительная часть его клиентом?
2. можно ли предположить, что ботовод выяснил взаимосвязь моих адресов?
3. что можно почитать про современную стратегию ботоводов?
Заранее спасибо за ответы

Comments

[Freeman]

У меня такое было с адресов 2.63.229.x и 2.63.239.x.

[pfg21]

1. у провайдера купили во временное пользование все свободно выдаваемые "белые ип". пока провайдера за это не нахлобучат, он будет получать бабки и жить в свое удовольствие.
или вообще провайдера купили... :) це коммерция, а не дом благородных девиц.
ну и как вариант атака с подменой адреса исходящего для усиления трафика.

2. наврядли :) ботоводы вообще пофих на целевые адреса, если они не отвечают.

3. везде :) школ ботоводов нет, стандартов тоже.
каждый ботовод сам кумекает как побольше бабок заграбастать.
ну и если техника очень удачна, за денюжку рассказывает своим ближним знакомым по цеху.
так что сгенерирован может любой алгоритм :) главное чтоб на него побольше народу попалось.

Answer 1

[simpleadmin]

Типичный SYN-флуд. Соответсвенно в заголовке пакета может быть указан ранодмный ip и ответ acknowledges от вашего роутера уходит не на тот ip с которого пришёл запрос, а на этот сгенерированный адрес.

Comments

[kpalagin]

Спасибо за ответ.
В логах роутера тоже, получается, фальшивый?
Как подобная деятельность может приносить прибыль? Ведь не просто так они это делают.

[simpleadmin]

В логах роутера тоже, получается, фальшивый?

Наверняка, проблема ipv4 в том, что в отправленном пакете мы можем указывать свой адрес какой угодно.

struct pkt {
	struct virt_header vh;
	struct ether_header eh;

	struct ip ip; // Вот здесь

	struct tcphdr tcp;
	uint8_t body[2048];	// XXX hardwired
} __attribute__((__packed__));

Как подобная деятельность может приносить прибыль? Ведь не просто так они это делают.

В данном случае, скорее случайность. Если бы целенаправленно DDoSили роутер, то хватило бы 10kpps+-

Ещй может использоваться как социальная атака. Так, например, "абузят" клиентов хостинга. Например атакуют сервер в хетцнере указывая адрес клиента сервера в ovh. Саппорт хетцнера видит атаку (якобы) из ovh и шлёт абузу -> ovh блокирует сервер клиента по подозрению в атаке.

[kpalagin]

simpleadmin, понятно, спасибо за разъяснение

Answer 2

[CityCat4]

1. что за трэш у провайдера происходит, если ботнетом захвачена значительная часть его клиентом?

Это не трэш, а обычный бразильский провайдер :)