راهنمایی در مورد ابیوز ovh , soyoustart

[blueserver]

سلام خدمت دوستان و همکارن گرامی
همکارانی که از این دیتاسنتر سرور مجازی سازی شده دارن لطفا راهنمایی کنن.
ابیوزی برامون مبنی بر tcp_syn ارسال شده که یک رنج از آی پی های سرور رو همزمان بلاک کرده و طبق لاگ حمله تمام سرورها به یک IP خاص بوده. الان مشکل این هست که توی این رنج آی پی ، یه دونه سرور میکروتیک برای dhcp هست که فقط اون ابیوز دریافت نکرده ، و یک IP دیگه هم هست که اصلا مجازی سازی نشده ولی برای اون هم ابیوز اومده ، با توجه به اینکه توی این دیتاسنتر از مک آدرس استفاده میشه ، احتمال سواستفاده از Ip ها کنسل میشه. از داخل esxi هم پورت هایی که برای این آی پی ها لاگ فرستادن رو چک کردم و پورت هاشون باز نیست.
الان سوالم اینه که چطور ممکنه با این توضیحات یک رنج آی پی رو همزمان بگن که اتک داشته؟ حتی IP که مجازی سازی نشده.

ممنون

[arc1o0]

متن ابیوز رو قرار بدید

احتمالا برداشت شما اشتباه بوده

[blueserver]

متن ابیوز رو قرار بدید

احتمالا برداشت شما اشتباه بوده

خدمت شما ، متن تمام ابیوزهاشون همین هست خودشون هم گفتن که SYN flood ولی چیزی که برام عجیب اینه که نمیتونم درک کنم که برای همه ی آی پی های یک ساب نت ابیوز ارسال کنن (حمله هم به پورت 80 اون آی پی بوده توسط کل ساب نت من)

در هر صورت اگه برداشت من هم اشتباه بوده باشه ، برای هر آی پی که ابیوز دریافت کرده ، یک لاگ جداگونه فرستادن ، موردهایی که قبلا میدیدیم ، فقط 1 آی پی ابیوز دریافت میکرد و پیگیری و رفع میشد ، نه یک ساب نت بصورت همزمان

Dear Customer,

The IP address XXX.XXX.XXX.XXX had to be blocked by our services due to
the various alerts received.

Please don't hesitate to contact our technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 8Kpps/3Mbps
dateTime srcIp:srcPort dstIpstPort protocol flags bytes reason
2017.05.09 2214 CEST XXX.XXX.XXX.XXX:29863 XXX.XXX.XXX.XXX:80 TCP SYN 48 ATTACK:TCP_SYN
2017.05.09 2214 CEST XXX.XXX.XXX.XXX:21381 XXX.XXX.XXX.XXX:80 TCP SYN 48 ATTACK:TCP_SYN
2017.05.09 2214 CEST XXX.XXX.XXX.XXX:55728 XXX.XXX.XXX.XXX:80 TCP SYN 48 ATTACK:TCP_SYN

[arc1o0]

بعضی مواقع ممکنه از این اشتباهات پیش بیاد

شما مک آدرس هم آی پی ها رو دوباره Generate کنید، و پورت های اضافی رو از راه های مختلفی که قبلا اعلام شده مسدود کنین

[blueserver]

بعضی مواقع ممکنه از این اشتباهات پیش بیاد

شما مک آدرس هم آی پی ها رو دوباره Generate کنید، و پورت های اضافی رو از راه های مختلفی که قبلا اعلام شده مسدود کنین

ممنون از شما ، البته من بعید میدونم اشتباه شده باشه. اینم اضافه کنم که بالای Alert یی که ساب نت رو بلاک کرده بودن به ARP هم نوشته بودن ، کار arp رو میدونم ولی اینجا نمیتونم هضمش کنم که اگه از این طریق حمله شده ، چجوری به کل IP های ساب نت دستور حمله داده شده.شخصا حدس میزنم ممکن هست بخاطر یکی از سرورهای ابونتو باشه که اسکرپت هایی مثل ربات و... روشون نصب شده باشه چون با تعویض os مشکل برطرف شد.