|
有一台闲置的 Google Cloud 服务器,443 端口不断收到不明 TCP 请求(不会建立 SSL 连接),产生了大约 3KB/s 左右的持续流量。虽然流量不大,但细水长流一个月可以达到几 GB ,超过 GCP 的免费额度,引起了我的注意。
公网服务器有来历不明的请求很正常,但当我仔细调查来源 IP 却发现,这些地址高度集中于南美,特别是巴西(同时还有多个国家 AWS IP 的 ICMP 访问)。这时我才发现,账单中流量金额确实也集中在南美。即使更换公网 IP ,几天后还会出现这样的流量。以下是我目前发现的 IP 段,可能不准确,且还在增加中:
45.160.104.0/22
45.166.56.0/22
45.166.196.0/22
45.170.208.0/22
45.172.84.0/22
45.179.88.0/22
45.182.156.0/22
45.188.180.0/22
45.190.148.0/22
45.190.252.0/22
45.234.68.0/22
131.255.52.0/22
167.249.88.0/22
168.228.156.0/22
170.246.212.0/22
177.36.16.0/22
177.66.248.0/21
177.73.104.0/22
177.93.80.0/22
179.97.32.0/20
179.124.8.0/22
181.191.40.0/22
186.209.32.0/20
186.233.228.0/22
187.103.160.0/20
187.49.11.0/24
187.49.168.0/22
187.84.120.0/22
189.45.188.0/22
189.51.32.0/22
200.155.128.0/20
201.182.120.0/22
这些访问呈现以下特征:
- 虽然国家高度集中,但横跨多个 ISP 的 ASN ,不像是单一运营商搞出的事情
- 同一时间只有一个段访问,屏蔽后又会换一个段访问,流量持续保持在低位,疑似有统一调度
- IP 地址高度分散,且 TCP 握手后不会持续传输流量,不像是刷主机流量或者劫持主机来 DDoS 特定目标
相比防御,我更在意的是什么原因(动机)可以导致这样的访问,不知是否有人可以答疑?
如果有其它使用 GCP 的网友也可以看一下是否有类似情况。
| 
