Buongiorno,
Stamattina ho ricevuto un attacco DDoS della durata di circa 5 minuti sulla mia linea Dimensione (tra le 11:30 e le 11:36). Scrivo questo thread perché volevo sapere se qualcun altro di voi avesse notato comportamenti anomali nello stesso intervallo di tempo.

Da una veloce analisi dei log del mio firewall, sembrerebbe un semplice attacco di tipo syn-ack flooding, di circa 300Mbps. Non sufficiente a saturare la banda della mia FTTH ma comunque sufficiente a saturare la CPU del mio router (che è una VM con opnsense) e impedirmi di navigare.
(Anche se ci sarebbe da capire se vedo solo 300Mbps proprio a causa del fatto che mi stava crepando la CPU)

Il traffico proveniva da IP di diversi ASN, tra i principali:

  • AS54994
  • AS24429
  • AS139341
  • AS140403

I pacchetti hanno tutti 443 come source port, e una destination port random.

Allego alcuni grafici:

Allego, inoltre, un frammento di log del firewall (opnsense):
https://pastebin.com/raw/E73YjV6Y
(il mio IP è censurato)

    Anche un mio parente è rimasto sensa internet dopo le 11:30, ma questione di una decina di minuti, non di più.
    Il suo router non è così avanti per capire se ha subito un attacco DDoS purtroppo 😅
    Però mi ero recato sul loro sito web per vedere se segnalavano disservizi ed effettivamente non rispondeva.
    (hai lasciato il tuo IP pubblico negli screen comunque)

      Karakurt hai lasciato il tuo IP pubblico negli screen comunque

      ouch grazie! L'ho censurato lasciando solo la /16 visibile.

        notherealmarco scusa ma sono una capra in fatto di reti.
        La parola “block” significa cosa?

            Blondie che il mio firewall ha bloccato quei pacchetti in quanto non trovava una sessione TCP aperta a cui associarli, trattandosi di tentativi di risposta (SYN-ACK) a sessioni che per il firewall non esistevano.
            Trattandosi di un firewall stateful, è il comportamento corretto.

            In termini meno tecnici: arrivava traffico che non sapeva come gestire e quindi lo scartava.

            • Blondie ha risposto a questo messaggio

                • Blondie

                  • Messaggio #6
                  • Modificato

                  notherealmarco quindi il tuo firewall ha bloccato connessioni da circa un quindicina di ip.
                  Se non sbaglio l’ip bloccato rimane blacklistato per circa tot minuti (tempo determinato sempre dalla regola) dal firewall e quindi non risponde ai sollecito ad un secondo , terzo o milamila tentativo.
                  Se il router non risponde alla richiesta di connessione, il carico di cpu dovrebbe essere più o meno nullo.
                  Quindi non comprendo come possa averti saturato la cpu e nel contempo averti bloccato la normale navigazione.
                  Grazie

                      So che legge tutto , ma vista la situazione lo taggo io va 😆 alla peggio mi prendo le parole io. @giusgius

                        Blondie circa un quindicina di ip

                        qualcosa mi dice che non hai letto molto attentamente i log, perché io conto migliaia di IP. (Inoltre quello è solo un piccolo frammento)

                            • giusgius

                            • Dimensione
                            • Messaggio #9
                            • Modificato

                            cravatta visto visto, è frequente che capiti qualche attacco specialmente a chi fa gioco online competitivo ma non solo

                            notherealmarco mi dai il tuo codice cliente o codice ordine?

                                  giusgius specialmente a chi fa gioco online competitivo

                                  non gioco online ma ho alcuni servizi esposti sull'IP pubblico, quindi ci sta.
                                  Però mi aspetterei che subentri una protezione da parte vostra

                                      notherealmarco hai ragione.
                                      Non ho letto.
                                      Quindi hai un ip pubblico e una intera bot nel ha preso di mira te.
                                      Dico bene?

                                          Blondie Quindi hai un ip pubblico e una intera bot nel ha preso di mira te.

                                          non so dirti se era mirato solo al mio IP o a tappeto verso la subnet di Dimensione.
                                          Ho scritto qui proprio per capire se altri utenti avessero riscontrato la stessa cosa

                                              giusgius 31907

                                              (nel frattempo ti ringrazio per aver risposto velocemente anche di domenica, non è scontato)

                                                  forse e dico forse dimensione offre un servizio firewall e magari visto l'accaduto attivalo, il mio provider lo offre in automatico, peraltro con un meccanismo alquanto efficace devo ammettere..

                                                  • giuse56 ha risposto a questo messaggio

                                                    notherealmarco io ho IP pubblico statico e un servizio attivo non ho riscontrato nessuna anomalia

                                                      attackment Che provider hai?

                                                          @notherealmarco A proposito di DDoS è diverso tempo, ormai, che subisco attacchi "IPV4 SIP UDP attack" sulla mia linea Dimensione, e questo mi fa funzionare ad intermittenza il VoIP.

                                                          Ho sì IP pubblico, ma porte non ne ho aperte verso l'esterno.

                                                            notherealmarco Trattandosi di un attacco, ti contatto in privato. Grazie!

                                                            nicos18 Per questo fai una verifica con il supporto, ci sono alcuni dispositivi problematici in tal senso

                                                                  giusgius va bene! Contattami pure alla mail associata alla linea Dimensione, oppure a quella che vedi nella mia bio qui sul forum.
                                                                  Grazie!

                                                                      Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                      P.I. IT16712091004 - info@fibraclick.it

                                                                      ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile