LINUX.ORG.RU
ФорумAdmin

Специальные/зарезервированные IP-адреса?

 , ,


0

4

Всем привет. Недавно на меня была ddos-атака, я отследил 8 айпи-адресов, с которых она велась. Все адреса были стандартные, публичные, и они стандартно пробивались в интернете. Но один из них, от которого было больше всего UDP пакетов, выглядит так: 100.124.29.80
Многие сайты никак его не определили. Однако, тут https://whois.ru/100.124.29.80 нашёл почту abuse@iana.org, обратился к ним и получил ответ:

Thank you for your abuse enquiry. Please read the following carefully, it is important you understand it because you likely have contacted us about special «IANA Reserved» IP addresses.

We are the Internet Assigned Numbers Authority (IANA), the global authority that assigns IP addresses, including those allocated to all users of the Internet via their Internet providers.

There are special sets of numbers that are designated by the Internet’s technical standards notto be assigned to any particular person. Instead, they are numbers that are either used in special ways, or designed for use in internal (home or office) networks.

These numbers are primarily in the following ranges:

  • Begins with 10. (i.e. 10.0.0.0 through to 10.255.255.255)
  • Begins with 127.
  • Begins with 169.254.
  • Begins with 172.16. through 172.31.
  • Begins with 192.168.
  • Advertised with AS numbers 48128 through 65535.

(Note: this list is not exhaustive, anything marked as «Reserved» or «Special Use» falls into this category.)

If you are seeing abusive traffic (such as network attacks, or spam) from these numbers, it is important to remember the following things:

  1. It is perfectly normal to see traffic from these numbers if you have a small home or office network, or connect to the Internet using broadband. By default, most routers and access points use these numbers to assign to your local computers. In these cases, the numbers represent computers within your own internal network.

  2. If you see these numbers in the headers of an unsolicited email, they usually indicate transit between servers within a corporate network or ISP, or they are spoofed email headers. They are not useful in identifying the origin of an email. This does not mean you can not trace the true origin of the email, you can usually find it by looking for the earliest «Received» mail header that is not an IANA Reserved address.

  3. The traffic DOES NOT come from IANA. As the authority for IP addresses, these numbers are merely reserved in our databases and those of our partners (ARIN, APNIC, etc.). We do not use or operate them, and we are not the source of the traffic.

  4. Due to the way these numbers are used, the origin of traffic from these numbers can only be traced from within your own network. You should speak with your network administrator for further assistance to find the true origin.

For more information on this topic, please read our more detailed Abuse FAQ. It is available at http://www.iana.org/faqs/abuse-faq.htm

Если я правильно понял, это что-то вроде локального адреса внутри моей сети. Но откуда он взялся и как «оно» меня атаковало?)
Сервер подключён к роутеру. Внутри роутера все подключённые клиенты имеют адрес 192.168.1.***
На самом сервере через утилиту iptraf-ng атака в реальном времени выглядела так: https://s2.radikal.cloud/2026/07/03/SKRINSOT-02-07-2026-223632b64966da6b8fcf79.jpg

Собственно, основной вопрос: Безопасно ли блокировать такой айпи-адрес, не навредит ли это работе моей сети? Либо же это бесполезно и под этим адресом скрывается настоящий/публичный айпи? Тогда как его найти?

Мои мысли пока что такие:
Сервер получил такой адрес от роутера. Но откуда получил его роутер - непонятно. Предполагаю, что «отправитель» находится в том же городе, с тем же провайдером, поэтому мой роутер/сервер отображает адрес в «локальном» виде



Последнее исправление: Dimez (всего исправлений: 1)

UDP spoofing

также является основой всех атак с усилением, когда приходит запрос от фальшивого адреса, например к ДНС серверу, и ДНС сервер на него отвечает большим таким выхлопом данных...
И атака сильная и пойди найди настоящего виновника...


Либо действительно ваш провайдер использует эти подсетии, блокировать можно, но аккуратно, если это клиент - фик с ним,
а если заблочите всю подсеть, то не получите доступа к чему-то провайдерскому (начните со своих ДНС серверов, далее - Iptv и прочее)


А порт случаем не совпадает с вашим торрентом? Для локальных сетей активно используются uTP, возможно это оно

Sylvia ★★★★★
()
Последнее исправление: Sylvia (всего исправлений: 2)
Ответ на: комментарий от sergej

блокировать можно, если не используешь софт, который даёт такие ип, например tailscale

sergej ★★★★★
()

Ты когда-нить пытался анализировать входящие пакеты на сервер из интернета вообще? Там постоянно приходят и всякие 192.168. и прочий подобный мусор. Адрес отправителя пакета, если вообще проверяется, то проверяется на стороне отправителя. Если отправитель криворук/ленив/злонамерен то проверок не будет и можно слать пакеты от кого угодно. Провайдерские роутеры на входе иногда могут фильтровать явно некорректные адреса, но по-моему обычно это не делают т.к. всем пофиг.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Провайдерские роутеры на входе иногда могут фильтровать явно некорректные адреса, но по-моему обычно это не делают т.к. всем пофиг.

Гм, если не фильтровать, то у них от этого NAT, билинг и пр. учет и контроль не поломается?

MirandaUser2 ★★
()

Если я правильно понял, это что-то вроде локального адреса внутри моей сети. Но откуда он взялся и как «оно» меня атаковало?)

Исторически в интернете можно было отправлять пакеты от любого адреса, проверки корректности источника не было. Сейчас подавляющее большинство провайдеров следуют BCP38 (настройка входящих фильтров, чтобы подменённые пакеты не принимались) и блокируют отправку подобных пакетов на своей инфраструктуре (чтобы не уходили в сеть).

Однако до сих пор есть десятки, а то и сотни площадок, откуда можно отправлять пакеты с подменённым IP-адресом источника, и в зависимости от конфигурации, пути прохождения пакета, фазы луны и т.п. пакет вам дойдёт.

Если вам приходят пакеты с 8.8.8.8, абсолютно не факт, что вам их присылает сервер, принадлежащий Google.

ValdikSS ★★★★★
()
Ответ на: комментарий от MirandaUser2

Ну разве что в nat можно ожидать больше фильтраций, но речь была про хостинг а не про домашний интернет, никаких натов там нет.

А так srcip входящих пакетов это просто набор чисел, который идёт транзитно до целевого хоста, он не влияет на работу сетевых железок обычно.

firkax ★★★★★
()

Но откуда он взялся и как «оно» меня атаковало?)

Атаки сейчас проводят через резидентные прокси, у каждого провайдера найдётся много пользовательских устройств, участвующих в этом.

yandrey ★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.