Недавно атаковали каким-то новым методом.
tcpdump показал что отправляют пакеты с нескольких (!) IP адресов и со сломанными или рандомными TCP опциями
IP 114-142.static.spheral.ru.18825 > [скрыл].25565: Flags [P.], seq 339869696:339871084, ack 1, win 36648, options [[bad opt]
IP 114-142.static.spheral.ru.18825 > [скрыл].25565: Flags [P.], seq 339804160:339805548, ack 1, win 36648, options [unknown-123 0x0000,unknown-186 0x0000b322,eol], length 1388
Во всех пакетах были одинаковые src port и win. Рассчитывая на быстрый фикс - забанил на прероутинге все адреса откуда шли пакеты. Это не помогло.
iptables -A PREROUTING -t raw -s 185.158.114.142 -j DROP
Решил забанить по общим признакам - тоже не помогает.
iptables -t raw -A PREROUTING -p tcp -m u32 --u32 «6&0xFF=0x6 && 0>>22&0x3C@12&0xFFFF=0x8F28» -j DROP
На крайний случай кинул эти адреса в блекхол через , также ноль эффекта.
ip route add blackhole 188.246.226.65
Подскажите, что это может быть? Первый раз вижу чтобы пакеты проходили игнорируя все правила и фильтры.
Сижу на серверах SoYouStart из линейки Game, так что тут еще и обход их защиты.
