我为该服务器制作了仅托管IRC,HTTP和SSH的服务器。我以前做过这种事情,据我所知一切都很好。但是今天,在我第一次正确启动服务器的几分钟后,直到整整一天几乎都启动了,直到今晚才注意到它,我才开始通过SSH受到强力攻击。他们正在检查各种各样的IP地址,从中国和越南等地的企业到DigitalOcean的地址。
我没有与任何人共享直接IP地址,而DNS仅设置一两天。我的朋友圈之外的任何人(我信任的人)都不会知道该服务器已存在,并且没有人会有任何理由来入侵我。
所以我的问题是,假设它不是'泄露了,这些人是如何这么快获得我的IP地址的,他们将如何寻求控制我的机器的信息?
#1 楼
IPv4地址范围不是很大。A类网络(
/8)大约有1600万个主机,理论上有256个主机。结果,互联网大约有4,294,966,784主机。当然,这是一个近似值。实际上保留了许多地址范围(例如
127.0.0.0/8,10.0.0.0/8),而其他实际上是代表NAT版内部网络的一个地址。但是,仅从简单的后端计算来看,我们可以说它就在这个范围内。攻击者现在可以做的是对一个子网进行大规模扫描,以查找特定服务,例如作为SSH。只需获得多个主机(例如32台主机),然后平均划分目标子网即可。仅扫描端口22上的SSH主机,然后检查哪些主机可以答复。
然后,攻击者可以尝试自行发起暴力攻击,也可以将活动主机列表出售给其他人,谁然后试图攻击您。
列出这样的列表需要多长时间?假设攻击者想扫描整个A类网络(1600万台主机),其中包括32台要扫描的主机(每秒大约100台主机),我们粗略估计为90分钟。当然,时间会有所不同,具体取决于速度或主机的数量,但它应该在该范围内。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
20-4-23在19:17
#2 楼
IP地址不是私有的。如今,可以在数分钟内扫描整个IPv4 Internet。例如,ZMAP是可用于此类扫描的工具。NMAP可用于IP地址以扫描开放端口或服务,例如SSH。
也有Online像Shodan这样的数据库,在互联网上具有大量设备和服务。
评论
是的,您的扫描时间大约适合现代扫描仪。
–凯塔尔
20-04-22在14:51
+1 Shodan擅长于其功能。 EG shodan.io/search?query=anonymous+ftp
–松脆
20-04-22在20:28
#3 楼
我开发了一款可扫描专用网络以创建设备清单的应用程序。他们希望它能够扩展为一次扫描整个B类网络。通过一次发送10,000个“ ping”数据包并并行等待所有答案,我能够在几分钟内编写一个函数(如果我没记错的话,则为5分)来做到这一点因素是因为它们都在同一个网络上,并且任何更快的东西都会遇到太多错误,这也是在NIO和Java必须为每个未处理的数据包坐在线程上之前-如今在Internet上,您可以更快地做到这一点。 />
所以5分钟* 255(大约一天)将是我花时间来扫描a类课程-因此,您可以使用我的20台255台计算机组成的小型僵尸网络每天扫描整个互联网已有十年历史的代码(每个漫游器每天扫描A类)。实际上,您可能一天之内就可以在一台计算机上扫描整个ipv4空间,包括使用相同的代码多次尝试重试。
但是,扫描每台设备的所有65k端口将花费大约65,535倍的时间。
这发生在20年前的我身上-但我发现他们只是在扫描一个开放的SSH端口(也许也是telnet / ftp,但即便如此,我仍然不知道将THOSE放在互联网上!)。我将SSH端口移到了5位端口号,再也没有打扰过。
此外,请禁用您的SSH密码,并始终使用公用/专用密钥,这使您使用起来更容易,也更难供其他人入侵。
评论
您可以在几分钟而不是几天内扫描整个IPv4范围内的端口-请参阅github.com/robertdavidgraham/masscan和类似的优化工具。
– Peteris
20-04-21在12:59
@Peteris ...如果您具有高带宽连接,并且有一个友好的ISP,当他们抱怨时,他们会告诉您正在扫描的人滚蛋,而不是断开您的连接。
–user253751
20-04-23在14:50
#4 楼
好吧,关于扫描整个IPv4 Internet所需的时间-使用masscan之类的工具只需不到5分钟!检查Shodan等服务上的IP地址也很值得-这将使您对服务器的已知信息有所了解。老实说,很可能以前已经使用过IP地址。因此它可能导致“看起来他们已经重新联机,让我们继续进行蛮力攻击”。
评论
评论不作进一步讨论;此对话已移至聊天。