是这样,一个老外朋友的一台 vps 失连,恰好我有一台同一子网的机器,登录进去发现从我的机器上可以 ssh 到他的这台机,第一反应是被墙了,老外很委屈,我都没干啥啊,而且刚新开不久。为了慎重起见我用另外一台阿里 HK 的机器试,发现 ssh 长时间没有反应,跟着就 mtr 了一下,如下: Host Loss% Snt Last Avg Best Wrst StDev
我用另外一几台 HK 的小机试都是一样的结果,然后发工单,答复说大量发送 udp 包,触发防火墙屏蔽了该实例,说是要到晚上 12 点解封。 然而根据我浅薄的网络知识,如果是因为触发该机房的防火墙,应该是到这家的最后一跳中断,怎么这家的防火墙还能控制到 hkix 和 pccw 的网关?
1
manjuprajna OP 我觉得貌似是删改了路由造成的吧?使得数据包不知道该往哪里送?
|
2
yexm0 2018-01-23 19:42:32 +08:00 via iPhone
他说的屏蔽应该就是不广播了吧
|
3
manjuprajna OP @yexm0 他回的工单说是他们的防火墙屏蔽了这台机。这明显是撒谎。而且并没有发送什么大量 udp 数据包,没有的事。硬件防火墙和软件防火墙都打开了。
|
4
xiaozhizhu1997 2018-01-23 20:49:46 +08:00 via iPhone
自行科普:Null route
|
5
AstroProfundis 2018-01-23 20:54:10 +08:00
检查 DNS 和 NTP 服务,是不是被滥用来做 DDoS 放大攻击了,特别是 DNS 如果配置不当容易中招
iftop 检查下网卡流量看是不是真的在大量发包 另外所谓的防火墙屏蔽应该是在机房出口,有些就真的是通过接口在运营商的网关附近丢包或者黑洞掉的,你从同一子网,是在机房内部的,不经过那个防火墙设备,当然就能访问到了 |
6
manjuprajna OP @AstroProfundis 问题它的防火墙难道部署到了 hkix ? dns 自己改了一下 /etc/resolv.conf,把默认的 8888 改成了 HKBN 的 dns 服务器,本身这台机上并没有运行 dns server,也没装 ntp 服务。
|
7
AstroProfundis 2018-01-23 21:10:42 +08:00
@manjuprajna 可能用的就是机房(运营商)提供的防火墙啊,通过一定手续往上面添加个规则而已
|
8
manjuprajna OP @AstroProfundis 不是的,是到 hkix 交换中心之前就已丢弃了。而且这家本身是有牌的大运营商,只不过口碑不是很好,经常玩些滑头。以前我的一台说是中国大陆优化线路偷偷地私自改了线路。
|
9
AEANWspPmj3FUhDc 2018-01-23 23:07:51 +08:00
今晚,所有 digitalocean 全炸了。
我把所有节点都买过一遍,最好的一个,youtube 只能看 480p |