20221003 高墙大规模干扰,境外IP443端口的案例报告

gzk101

原文引用自

https://www.blueskyxn.com/202210/6660.html

时间轴
在UTC+8 11:30分左右，检测到攻击发生

在UTC+8 11:45分，经过对照实验，发现中国大陆访问时HTTPS不通，但是HTTP正常

在UTC+8 11:50分，经过对照实验，发现与域名无关（包括IP HTTPS）

在UTC+8 11:55分，经过对照实验，发现TCP443不通，其他端口的HTTPS、HTTP等服务正常

初步判断为统一攻击 IP:443端口，尤其是TCP。ICMP和其他端口不受影响。

攻击模式特点

1. 目前已知仅 443端口阻断，有没有阻断UDP暂且不知道
   
2. 境外CDN 无额外影响（CloudFlare、G-Core），并没有攻击境外CDN的IP
   
3. 境内CDN 使用HTTP回源无影响，使用HTTPS-443端口一样被影响（比如百度云加速、Dogecloud）
   
4. 更换其他端口（HTTPS/TLS）和HTTP-80无影响
   
5. 北岸域名无效，攻击的是IP的端口而不是域名

复制代码

我手头主要是TCP被墙443，不知道ws中招的多不多。

HOH

什么乱七八糟的，墙了就墙了，变成攻击了？哗众取宠

acaiplus

以后只能ipv6出墙了。。。ipv4已经机器模型学习了，啥协议都不好使。

hcyme

cf正常，用的ipv6，其它没有什么443

菜单

我一直443

bitfmz

hcyme 发表于 2022-10-3 21:45
cf正常，用的ipv6，其它没有什么443

ipv6 怎么做梯子 直接域名解析道ip6地址？还是直接就是ip6访问 不需要域名伪装

hiugo

看见流量大的都拉清单，啥时候有事了拉出来封一波不比识别协议消耗的算力小吗
反正误封的成本也不高大不了过十天半个月放出来