LINUX.ORG.RU
ФорумAdmin

Специальные/зарезервированные IP-адреса ??

 , ,


0

3

Всем привет. Недавно на меня была ddos-атака, я отследил 8 айпи-адресов, с которых она велась. Все адреса были стандартные, публичные, и они стандартно пробивались в интернете. Но один из них, от которого было больше всего UDP пакетов, выглядит так: 100.124.29.80
Многие сайты никак его не определили. Однако, тут https://whois.ru/100.124.29.80 нашёл почту abuse@iana.org, обратился к ним и получил ответ:

Thank you for your abuse enquiry. Please read the following carefully, it is important you understand it because you likely have contacted us about special «IANA Reserved» IP addresses.

We are the Internet Assigned Numbers Authority (IANA), the global authority that assigns IP addresses, including those allocated to all users of the Internet via their Internet providers.

There are special sets of numbers that are designated by the Internet’s technical standards notto be assigned to any particular person. Instead, they are numbers that are either used in special ways, or designed for use in internal (home or office) networks.

These numbers are primarily in the following ranges:

  • Begins with 10. (i.e. 10.0.0.0 through to 10.255.255.255)
  • Begins with 127.
  • Begins with 169.254.
  • Begins with 172.16. through 172.31.
  • Begins with 192.168.
  • Advertised with AS numbers 48128 through 65535.

(Note: this list is not exhaustive, anything marked as «Reserved» or «Special Use» falls into this category.)

If you are seeing abusive traffic (such as network attacks, or spam) from these numbers, it is important to remember the following things:

  1. It is perfectly normal to see traffic from these numbers if you have a small home or office network, or connect to the Internet using broadband. By default, most routers and access points use these numbers to assign to your local computers. In these cases, the numbers represent computers within your own internal network.

  2. If you see these numbers in the headers of an unsolicited email, they usually indicate transit between servers within a corporate network or ISP, or they are spoofed email headers. They are not useful in identifying the origin of an email. This does not mean you can not trace the true origin of the email, you can usually find it by looking for the earliest «Received» mail header that is not an IANA Reserved address.

  3. The traffic DOES NOT come from IANA. As the authority for IP addresses, these numbers are merely reserved in our databases and those of our partners (ARIN, APNIC, etc.). We do not use or operate them, and we are not the source of the traffic.

  4. Due to the way these numbers are used, the origin of traffic from these numbers can only be traced from within your own network. You should speak with your network administrator for further assistance to find the true origin.

For more information on this topic, please read our more detailed Abuse FAQ. It is available at http://www.iana.org/faqs/abuse-faq.htm

Если я правильно понял, это что-то вроде локального адреса внутри моей сети. Но откуда он взялся и как «оно» меня атаковало?)
Сервер подключён к роутеру. Внутри роутера все подключённые клиенты имеют адрес 192.168.1.***
На самом сервере через утилиту iptraf-ng атака в реальном времени выглядела так: https://s2.radikal.cloud/2026/07/03/SKRINSOT-02-07-2026-223632b64966da6b8fcf79.jpg

Собственно, основной вопрос: Безопасно ли блокировать такой айпи-адрес, не навредит ли это работе моей сети? Либо же это бесполезно и под этим адресом скрывается настоящий/публичный айпи? Тогда как его найти?

Мои мысли пока что такие:
Сервер получил такой адрес от роутера. Но откуда получил его роутер - непонятно. Предполагаю, что «отправитель» находится в том же городе, с тем же провайдером, поэтому мой роутер/сервер отображает адрес в «локальном» виде

UDP spoofing

также является основой всех атак с усилением, когда приходит запрос от фальшивого адреса, например к ДНС серверу, и ДНС сервер на него отвечает большим таким выхлопом данных...
И атака сильная и пойди найди настоящего виновника...


Либо действительно ваш провайдер использует эти подсетии, блокировать можно, но аккуратно, если это клиент - фик с ним,
а если заблочите всю подсеть, то не получите доступа к чему-то провайдерскому (начните со своих ДНС серверов, далее - Iptv и прочее)


А порт случаем не совпадает с вашим торрентом? Для локальных сетей активно используются uTP, возможно это оно

Sylvia ★★★★★
()
Последнее исправление: Sylvia (всего исправлений: 2)
Ответ на: комментарий от sergej

блокировать можно, если не используешь софт, который даёт такие ип, например tailscale

sergej ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.