来自 ipv6 only 的神秘问题,收到无法解析地址的流量 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
kleos
V2EX    信息安全

来自 ipv6 only 的神秘问题,收到无法解析地址的流量

  •   
  •   kleos 251 天前 2886 次点击
    这是一个创建于 251 天前的主题,其中的信息可能已经有所发展或是发生改变。

    黑五的时候购买一个欧洲机器(ipv6 only),主要进行辅助工作(欧洲区域组网),日常流量使用比较少。

    问题出现

    时间来到今年一月份,登录服务器想部署一个新的项目,发现入站流量已经达到了 1.3T 之多,并且流量一直在持续入站。

    问题排查以及尝试解决

    经过 tcpdump 得出的日志发现,流量来自 ptr.default.28000 。

    问题解决

    1. 我的解决思路是 dig 出 ip ,使用 iptables 防火墙 ban 掉 ip 很不幸,使用内外网的 dns 解析都显示域名不存在,失败了。。。

    2. 在问题出现的当天便已经发送了 tk 给商家 24 小时并无问题解决方法,只说在调查问题。 也没有解决。。。

    tcpdump 的部分日志

    11:05:32.771620 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 45622:46668, ack 17815, win 501, options [nop,nop,TS val 1712976733 ecr 2823061016], length 1046

    11:05:32.772517 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 46668:47711, ack 18203, win 501, options [nop,nop,TS val 1712976735 ecr 2823061018], length 1043

    11:05:32.773231 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 47711:48755, ack 18590, win 501, options [nop,nop,TS val 1712976736 ecr 2823061018], length 1044

    11:05:32.774101 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 42326:43365, ack 16270, win 7547, options [nop,nop,TS val 1712976736 ecr 2823061019], length 1039

    11:05:32.774950 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 43365:44406, ack 16656, win 7547, options [nop,nop,TS val 1712976737 ecr 2823061019], length 1041

    11:05:32.775811 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 48755:49803, ack 18977, win 501, options [nop,nop,TS val 1712976738 ecr 2823061020], length 1048

    11:05:32.776449 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 49803:50846, ack 19364, win 501, options [nop,nop,TS val 1712976738 ecr 2823061021], length 1043

    11:05:32.777032 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 44406:45458, ack 17044, win 7547, options [nop,nop,TS val 1712976738 ecr 2823061021], length 1052

    11:05:32.777922 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 50846:51903, ack 19754, win 501, options [nop,nop,TS val 1712976739 ecr 2823061021], length 1057

    11:05:32.778756 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 45458:46504, ack 17432, win 7547, options [nop,nop,TS val 1712976739 ecr 2823061022], length 1046

    11:05:32.779504 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 46504:47552, ack 17819, win 7547, options [nop,nop,TS val 1712976740 ecr 2823061023], length 1048

    11:05:32.780342 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 51903:52916, ack 20142, win 501, options [nop,nop,TS val 1712976741 ecr 2823061023], length 1013

    11:05:32.781149 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 52916:53961, ack 20530, win 501, options [nop,nop,TS val 1712976742 ecr 2823061025], length 1045

    11:05:32.781585 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 48596:49643, ack 18595, win 7547, options [nop,nop,TS val 1712976743 ecr 2823061026], length 1047

    11:05:32.782663 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 53961:55000, ack 20917, win 501, options [nop,nop,TS val 1712976743 ecr 2823061026], length 1039

    11:05:32.783590 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 55000:56016, ack 21303, win 501, options [nop,nop,TS val 1712976744 ecr 2823061026], length 1016

    11:05:32.784358 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 49643:49978, ack 18982, win 7547, options [nop,nop,TS val 1712976745 ecr 2823061027], length 335

    11:05:32.785206 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 49978:51010, ack 19370, win 7547, options [nop,nop,TS val 1712976746 ecr 2823061029], length 1032

    11:05:32.785853 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 51010:52043, ack 19757, win 7547, options [nop,nop,TS val 1712976747 ecr 2823061029], length 1033

    11:05:32.786593 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 56016:57054, ack 21690, win 501, options [nop,nop,TS val 1712976748 ecr 2823061030], length 1038

    11:05:32.787329 IP ptr.default.28000 > default.google.com.36150: Flags [P.], seq 57054:58093, ack 22077, win 501, options [nop,nop,TS val 1712976748 ecr 2823061031], length 1039

    11:05:32.788048 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 52043:53098, ack 20145, win 7547, options [nop,nop,TS val 1712976749 ecr 2823061031], length 1055

    11:05:32.788848 IP ptr.default.28000 > default.google.com.36158: Flags [P.], seq 53098:54157, ack 20536, win 7547, options [nop,nop,TS val 1712976749 ecr 2823061032], length 1059

    完整日志

    https://hastebin.com/share/mivegemiga.yaml

    第 1 条附言    251 天前

    wireshark-sshdump地址: https://limewire.com/d/8c84697a-048d-47d5-bc1a-320db79530fe#Mle7lFPZjUirnv4aWh7hyVKSF6BfoKM8K6d_DVivPTI

  • 流量
  • ptr.default.28000
  • iptables
    18 条回复    2025-02-03 22:13:31 +08:00
    iBugOne
        1
    iBugOne  
       251 天前 via Android   4
    有没有可能,你只需要 tcpdump -n 就可以看到 ptr.default 的真实 IP 了,少绕一大个呢
    ysc3839
        2
    ysc3839  
       251 天前 via Android   1
    @iBugOne +1
    这也是我不喜欢命令行直接用 tcpdump 的原因,ssh 能直连的情况下我都会用 Wireshark 的 sshdump 。
    kleos
        3
    kleos  
    OP
       251 天前
    @iBugOne 谢谢,刚刚试了一下,出现了一个更奇怪的问题,在一个 ipv6-only 的机器里,出现了两个 ipv4 地址。
    12:08:16.926740 IP 5.180.253.215.28000 > 37.114.49.176.60364: Flags [P.], seq 2861263:2862303, ack 1110587, win 501, options [nop,nop,TS val 1716740894 ecr 2826825176], length 1040

    12:08:16.927246 IP 5.180.253.215.28000 > 37.114.49.176.60376: Flags [P.], seq 2081745:2082793, ack 810334, win 6343, options [nop,nop,TS val 1716740896 ecr 2826825178], length 1048

    12:08:16.927660 IP 5.180.253.215.28000 > 37.114.49.176.60364: Flags [P.], seq 2862303:2863341, ack 1110973, win 501, options [nop,nop,TS val 1716740894 ecr 2826825177], length 1038

    12:08:16.928192 IP 5.180.253.215.28000 > 37.114.49.176.60376: Flags [P.], seq 2082793:2083128, ack 810721, win 6343, options [nop,nop,TS val 1716740897 ecr 2826825179], length 335

    12:08:16.928319 IP 5.180.253.215.28000 > 37.114.49.176.60364: Flags [P.], seq 2863341:2864372, ack 1111361, win 501, options [nop,nop,TS val 1716740896 ecr 2826825178], length 1031

    12:08:16.928959 IP 5.180.253.215.28000 > 37.114.49.176.60364: Flags [P.], seq 2864372:2865406, ack 1111745, win 501, options [nop,nop,TS val 1716740896 ecr 2826825179], length 1034

    12:08:16.929946 IP 5.180.253.215.28000 > 37.114.49.176.60376: Flags [P.], seq 2083128:2083793, ack 811108, win 6343, options [nop,nop,TS val 1716740899 ecr 2826825181], length 665

    12:08:16.930827 IP 5.180.253.215.28000 > 37.114.49.176.60376: Flags [P.], seq 2083793:2084458, ack 811495, win 6343, options [nop,nop,TS val 1716740900 ecr 2826825182], length 665
    wolfworks
        4
    wolfworks  
       251 天前
    盲猜是不是主机商没做好隔离啊 隔壁的机器在乱广播数据包
    guanzhangzhang
        5
    guanzhangzhang  
       251 天前
    你这看着是人家主机厂商给你的不是专有 vpc ,你机器和别人机器在同一个 vpc 内的,别人在扫你,你 ping 下看看 ttl 数值是不是很近
    kleos
        6
    kleos  
    OP
       251 天前
    @guanzhangzhang ipv6 机器在未分配 ipv4 地址情况下无法 ping 通
    jinliming2
        7
    jinliming2  
       251 天前
    看着貌似 5.180.253.215 的端口一直是 28000 不变,而 37.114.49.176 的端口一直在变。
    sudo lsof -P | grep 28000
    看看呢?看看本地是不是有这么个进程?
    ysc3839
        8
    ysc3839  
       251 天前 via Android
    直接 Wireshark sshdump 抓包吧,看发送端的 MAC 地址
    xqzr
        9
    xqzr  
       251 天前
    tcpdump -en
    kleos
        10
    kleos  
    OP
       251 天前
    @xqzr
    01:36:48.950161 4e:65:07:71:90:97 > 4e:65:07:8b:78:01, ethertype IPv4 (0x0800), length 1115: 5.180.253.215.28000 > 37.114.49.176.35648: Flags [P.], seq 1190591:1191640, ack 446458, win 6711, options [nop,nop,TS val 1740052918 ecr 2850137200], length 1049

    01:36:48.950775 4e:65:07:71:90:97 > 4e:65:07:8b:78:01, ethertype IPv4 (0x0800), length 1113: 5.180.253.215.28000 > 37.114.49.176.35618: Flags [P.], seq 1201817:1202864, ack 447604, win 7250, options [nop,nop,TS val 1740052919 ecr 2850137201], length 1047

    01:36:48.951174 4e:65:07:71:90:97 > 4e:65:07:8b:78:01, ethertype IPv4 (0x0800), length 1113: 5.180.253.215.28000 > 37.114.49.176.35648: Flags [P.], seq 1191640:1192687, ack 446846, win 6711, options [nop,nop,TS val 1740052919 ecr 2850137202], length 1047

    01:36:48.951724 4e:65:07:71:90:97 > 4e:65:07:8b:78:01, ethertype IPv4 (0x0800), length 1106: 5.180.253.215.28000 > 37.114.49.176.35618: Flags [P.], seq 1202864:1203904, ack 447991, win 7250, options [nop,nop,TS val 1740052920 ecr 2850137203], length 1040

    01:36:48.952181 4e:65:07:71:90:97 > 4e:65:07:8b:78:01, ethertype IPv4 (0x0800), length 1114: 5.180.253.215.28000 > 37.114.49.176.35648: Flags [P.], seq 1192687:1193735, ack 447235, win 6711, options [nop,nop,TS val 1740052920 ecr 2850137202], length 1048
    kleos
        11
    kleos  
    OP
       251 天前
    @jinliming2 奇怪的是,并没有程序使用 28000 端口。
    slowman
        12
    slowman  
       251 天前
    ssh 给我上去看看
    ysc3839
        13
    ysc3839  
       251 天前   2
    看一下本机 MAC 地址?
    看抓包文件,源 MAC 是 4e:65:07:71:90:97 ,目标 MAC 是 4e:65:07:8b:78:01 。
    先看看是否和本机 MAC 匹配,如果不匹配的话,估计是虚拟机网络配置相关的问题,可能配置成了集线器模式,同一桥接网络内所有主机能接收其他任何主机的数据包。
    像是 VMware Workstation 的桥接模式就是这样的,虚拟机内抓包能抓到宿主机发出的包,而且虚拟机和宿主机通信似乎会绕路由器,不知道这种特性的话会掉坑里。
    kleos
        14
    kleos  
    OP
       251 天前
    @ysc3839 经过查看,并不是本机的 MAC 。
    guanzhangzhang
        15
    guanzhangzhang  
       250 天前
    @kleos #6 云控制台上加一个 ipv4 的网卡后 ping 下看看,或者加个公网 ipv4 的
    chinni
        16
    chinni  
       250 天前
    @kleos 我知道哪家了哈哈 我现在也有这问题 而且来源和目标 ipv4 是固定的。 一天 100G inbound
    chinni
        17
    chinni  
       250 天前
    @kleos 而且我看了 来源和目标 ip 和你的是一模一样的。iptables 里加了 reject 和 drop 并没有任何作用
    kleos
        18
    kleos  
    OP
       249 天前
    @chinni 厉害,这都被你猜到了,这站点客服比较懈怠,发了 tk 大概三天了,压根没人鸟。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     6051 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 27ms UTC 06:15 PVG 14:15 LAX 23:15 JFK 02:15
    Do have faith in what you're doing.
    ubao snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86