Netch S5端口2801攻击报告

在20240610夜间,我在独服上准备用Alist通过Netch把流量通过甲骨文US传输到天翼网盘。
在20240611凌晨0点24分,我在Lark上收到了宝塔的nginx停用通知,我大吃一惊,因为按照经验,只有我重启了才很容易导致nginx没自启动
然后检查nezha探针,发现服务器重启了,当时我打开了Windows的事件查看器,未见明显异常。于是我继续重复操作
在20240611凌晨0点36分,再次收到nginx停用通知,检查发现再次重启,这次nezha探针我注意到记录了有大概300Mbps的上下对等带宽流量。
这时我一开始是怀疑莫非Alist和Netch存在流量回环冲突,进行了对照试验,也尝试修改了netch的配置文件。
这时发现了一旦开启netch就瞬间有大几百M的流量,这时我很快就定位到了netch自带的局域网S5和HTTP代理功能。
联想到我未限制其他设备联入(local和all的区别),猜测为被外部IP盗用S5了。
此时打开火绒流量管理和火绒剑,成功抓取到对应的数据,检查到一瞬间启动就有5000条以上的TCP连接,导致火绒流量管理直接卡死,这时用火绒剑快速快照了记录。

然后花了点时间进行了IP手工统计,成功抓取到了本次的攻击IP,共计44个IP,其中13个有大量TCP连接。

这个攻击有点奇怪,疑似近期出现的黑产,因为之前都没有发现这种情况,也有可能近期被放在了某些代理IP池中被ddcc的黑产滥用了,还好及时把我服务器干重启不然还没发现。
根据我的天翼网盘记录,上一次使用是20240522,所以这个黑产应该是在20240522之后的。
结合他们的记录行为,很多是大量tcp连接,且总带宽跑的很快,应该是ddcc类的黑产,其中发包的可能性更大点。
因为我的服务器在ipv4的上行只有100Mbps,ipv4的下行、ipv6的上下行是1Gbps,而实际被攻击时的流量大概在300Mbps~800Mbps,明显高于100Mbps,而独服和甲骨文互联走的是ipv6,如果对方是通过ipv4连入我的服务器,再通过发包到我的服务器,即可解释带宽表现。

综上,这个攻击我认为不符合爬虫、常规的网络代理等黑灰产攻击类型,应当是对外发包攻击,且TCP包的可能性更大

本次攻击的IP记录在 https://github.com/BlueSkyXN/Comprehensive-Network-Defense/blob/master/IPs/IPs_NetchS5-2801ATK.txt

最后更新于 2024-06-11