update: 07/13 10:47pm telegram的消息服务器修改网段为在英国的91.108.x.x 目前连接恢复正常
用上telegram开始没多久,就喜欢上了这个产品,各种终端支持,加密,同步,分组聊天等功能用的非常爽.
6月在手机侧跟踪了下它的主要消息网关位置在哪里,发现他的主要消息服务器都是在俄国,以149.154.171.0/24和149.154.175.0/24两个网段的ip为主, 手贱翻了下ddos相关信息,发现6月初就有人ddos它的一台主用消息服务器, 该ddos事件中的主控服务器在国内南方.但没太在意.
上周五7月10日下午4点半开始,我们检测到针对telegram的主用消息服务器149.154.171.5的80和443端口的dos开始,断断续续一直持续到7月11日上午11点,然后平息下来,随后在7月12日中午1点左右重新开始,持续到12日晚上7点半结束.
对国内的telegram用户来说,7月10日下午4点半开始,软件几乎就处于不可用状态了.
与此同时,telegram的另外一个消息网关149.154.171.31在10号,11号同样时间点遭受几乎完全吻合的攻击.
祸不单行,在telegram消息网关被ddos的同时,上周五晚上8点多开始,telegram的主页地址被污染,无法正常访问.
更有趣的内容发生在周末, 拿被攻击的149.154.171.5举例,
周日开始
连通性层面没有问题,ping包任然可以正常返回.
但是端口层面则不同,
我们注意到有某种设备开始针对telegram消息网关149.154.171.5的端口443进行了屏蔽, 客户端连接请求返回虚假的RST包.
这里面特别需要注意的是:返回的ttl已近开始随机了. 之前某设备一直被人诟病,网友通常都是通过ttl倒推的方式定位某设备所在位置,包括国外著名的某人间大炮介绍文章,基本原理就是倒推ttl,如今ttl随机了...
随后又有新变化,周日下午至今,
连通性层面也出现问题,ping包无法正常返回.
端口层面也发生了变化,
到telegram消息网关149.154.171.5的端口443的客户端连接请求不再返回返回任何报文