update: 07/13 10:47pm telegram的消息服務(wù)器修改網(wǎng)段為在英國的91.108.x.x 目前連接恢復(fù)正常
用上telegram開始沒多久,就喜歡上了這個產(chǎn)品,各種終端支持,加密,同步,分組聊天等功能用的非常爽.
6月在手機側(cè)跟蹤了下它的主要消息網(wǎng)關(guān)位置在哪里,發(fā)現(xiàn)他的主要消息服務(wù)器都是在俄國,以149.154.171.0/24和149.154.175.0/24兩個網(wǎng)段的ip為主, 手賤翻了下ddos相關(guān)信息,發(fā)現(xiàn)6月初就有人ddos它的一臺主用消息服務(wù)器, 該ddos事件中的主控服務(wù)器在國內(nèi)南方.但沒太在意.
上周五7月10日下午4點半開始,我們檢測到針對telegram的主用消息服務(wù)器149.154.171.5的80和443端口的dos開始,斷斷續(xù)續(xù)一直持續(xù)到7月11日上午11點,然后平息下來,隨后在7月12日中午1點左右重新開始,持續(xù)到12日晚上7點半結(jié)束.?
對國內(nèi)的telegram用戶來說,7月10日下午4點半開始,軟件幾乎就處于不可用狀態(tài)了.
與此同時,telegram的另外一個消息網(wǎng)關(guān)149.154.171.31在10號,11號同樣時間點遭受幾乎完全吻合的攻擊.
禍不單行,在telegram消息網(wǎng)關(guān)被ddos的同時,上周五晚上8點多開始,telegram的主頁地址被污染,無法正常訪問.
更有趣的內(nèi)容發(fā)生在周末, 拿被攻擊的149.154.171.5舉例,
周日開始
連通性層面沒有問題,ping包任然可以正常返回.
但是端口層面則不同,
我們注意到有某種設(shè)備開始針對telegram消息網(wǎng)關(guān)149.154.171.5的端口443進行了屏蔽, 客戶端連接請求返回虛假的RST包.
這里面特別需要注意的是:返回的ttl已近開始隨機了.?之前某設(shè)備一直被人詬病,網(wǎng)友通常都是通過ttl倒推的方式定位某設(shè)備所在位置,包括國外著名的某人間大炮介紹文章,基本原理就是倒推ttl,如今ttl隨機了...
隨后又有新變化,周日下午至今,
連通性層面也出現(xiàn)問題,ping包無法正常返回.
端口層面也發(fā)生了變化,
到telegram消息網(wǎng)關(guān)149.154.171.5的端口443的客戶端連接請求不再返回返回任何報文