SYN Spoofing / Reflection Attack auf Tor IP-Adressen

[CoMo]

PSA:

Gerade findet ein großangelegter Reflection Angriff auf IP-Adressen von Tor Relays statt https://delroth.net/posts/spoofed-mass-scan-abuse/

Ich betreibe ein Tor Relay bei mir zuhause und habe heute früh eine Abuse Mail von @Telekom hilft Sicherheitsteam erhalten.

Tatsächlich schlagen hier Massen an SYN ACKs auf Port 22 auf.

Es scheint, dass hier gezielt Netzwerke angegriffen werden, die hinter einem IDS/IPS stehen und automatisiert Abuse Complaints versenden.

Wenn ihr einen Tor Node betreibt, prüft einmal, ob ihr betroffen seid:

tcpdump -i <Interface> 'tcp port 22 and tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

 

[and]

Das Telekom "Abuse" Team wird sicherlich professionell genug sein und wissen wie "Denunzieren" über Bande funktioniert und der "Auffälligkeit"-Hinweis sollte hoffentlich nur dem anfänglichen ungeprüften Automatismus geschuldet sein.

Es dürfte nicht im Interesse der Telekom sein, das ihre IP Netzblöcke bei fremden ISPs unerlaubt verwendet werden, um unrichtige "Auffälligkeits"-Hinweise bei ihren eigenen Kunden zu provozieren.

Nachtrag:
Ich würde noch die Antworten von "freundlich" eingestellten Firewall/Transit Hops mitloggen (TCP-reset, ICMP Destination Unreachable oder seltener ICMP Time Exceeded)

# tcpdump -ni <interface> 'tcp port 22 and tcp[tcpflags] & (tcp-syn|tcp-rst) != 0 or icmp[icmptype] == icmp-unreach or icmp[icmptype] == icmp-timxceed'

 

[CoMo]

Naja. ISPs und Hoster auf der ganzen Welt werden gerade mit diesen Abuse Messages zugespammt.

Halbwegs seriöse Hoster wie Hetzner haben das Problem wohl mittlerweile erkannt, Klitschen wie Ionos sperren dagegen einfach massenhaft Server. Solche Hinterwäldler Hoster gibt es weltweit und das ist gerade ein riesiges Problem für das Tor Ökosystem.

Warum ISPs, die grundlegende Dinge wie BCP38 nicht implementieren, überhaupt mit irgendjemanden peeren dürfen, ist eine andere grundsätzliche Frage.

 

[CoMo]

Fixed.

I'm writing to share that the origin of the spoofed packets has been identified and successfully shut down today, thanks to the assistance from Andrew Morris at GreyNoise and anonymous contributors.

https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85#note_3127671

 

[and]

Gelöst ist es noch nicht, da die öffentliche Aufarbeitung durch IT Medien fehlt.

Wie kann es sein, das so viele etablierte ISP auf falsche Beschuldigungen durch "watchdogcyberdefense" hereinfallen und ihre eigenen zahlenden Kunden beschuldigen?

Die ISP tragen hier eine Mitschuld, wenn sie ungeprüft falsche eingehende Beschuldigungen in ihren eigenen Namen weiterreichen und aussprechen.

Zumindest hat der Inhaber von "watchdogcyberdefense" inzwischen bestätigt, dazu gelernt zu haben, was "IP address spoofing" ist.

Eine Lösung ist es nicht, da wie immer ein nächster "Tump"er aufwachen wird, der meint die Internet Kommunikation Technologie verstanden zu haben und dazu weitere AS ohne source IP egress Filter darauf warten für zukünftige "IP address spoofing attacks" missbraucht zu werden.