telegram故障分析观察 (WOOYUN)

  • A+
所属分类:WooYun-Zone

杀戮 (有事请 at 大号园长) telegram故障分析观察  (WOOYUN) | 2015-07-13 15:12

本文作者为:宫一鸣  

转载已经经过同意

用上telegram开始没多久,就喜欢上了这个产品,各种终端支持,加密,同步,分组聊天等功能用的非常爽.

6月在手机侧跟踪了下它的主要消息网关位置在哪里,发现他的主要消息服务器都是在俄国,以149.154.171.0/24和149.154.175.0/24两个网段的ip为主, 手贱翻了下ddos相关信息,发现6月初就有人ddos它的一台主用消息服务器, 该ddos事件中的主控服务器在国内南方.但没太在意.

上周五7月10日下午4点半开始,我们检测到针对telegram的主用消息服务器149.154.171.5的80和443端口的dos开始,断断续续一直持续到7月11日上午11点,然后平息下来,随后在7月12日中午1点左右重新开始,持续到12日晚上7点半结束.

telegram故障分析观察  (WOOYUN)

对国内的telegram用户来说,7月10日下午4点半开始,软件几乎就处于不可用状态了.

与此同时,telegram的另外一个消息网关149.154.171.31在10号,11号同样时间点遭受几乎完全吻合的攻击.

祸不单行,在telegram消息网关被ddos的同时,上周五晚上8点多开始,telegram的主页地址被污染,无法正常访问.

更有趣的内容发生在周末, 拿被攻击的149.154.171.5举例,

周日开始

联通性层面没有问题,ping包任然可以正常返回.

但是端口层面则不同,

我们注意到有某种设备开始针对telegram消息网关149.154.171.5的端口443进行了屏蔽, 客户端连接请求返回虚假的RST包.

telegram故障分析观察  (WOOYUN)

这里面特别需要注意的是:返回的ttl已近开始随机了. 之前某设备一直被人诟病,网友通常都是通过ttl倒推的方式定位某设备所在位置,包括国外著名的某人间大炮介绍文章,基本原理就是倒推ttl,如今ttl随机了...

随后又有新变化,周日下午至今,

联通性层面也出现问题,ping包无法正常返回.

端口层面也发生了变化,

到telegram消息网关149.154.171.5的端口443的客户端连接请求不再返回返回任何报文

分享到: