- Hetzner ส่งต่อ รายงานการละเมิด ว่ามีการสแกนพอร์ต SSH จาก
195.201.9.37แต่ภายในเซิร์ฟเวอร์ไม่พบหลักฐานของโปรเซสอันตราย การเปลี่ยนแปลงไฟล์ หรือทราฟฟิกผิดปกติ - จากการตรวจสอบโฟลว์จริงด้วย
tcpdumpพบว่าไม่ใช่เซิร์ฟเวอร์เชื่อมต่อออกไปยัง22/tcpภายนอก แต่ใกล้เคียงกับ backscatter ที่โฮสต์อินเทอร์เน็ตหลายแห่งส่ง TCP RST กลับมายังเซิร์ฟเวอร์ - สาเหตุหลักคือสามารถส่งแพ็กเก็ตที่ใส่ IP ต้นทางตามใจได้ผ่านเครือข่ายที่ไม่ทำการกรองแบบ BCP38 และใน TCP, QUIC, TLS ที่ต้องมีการตอบกลับไปมา ผู้โจมตีจะไม่เห็นการตอบกลับโดยตรง
- รูปแบบเดียวกันนี้ปรากฏใน Tor relay อีก 2 ตัวของผู้เขียนด้วย และในเมลลิงลิสต์
tor-relaysกับ issue ของ Tor Project ก็มีรายงานปรากฏการณ์คล้ายกันมาตั้งแต่หลายวันก่อน รวมถึงมีกรณีที่บางโหนดล่มชั่วคราว - ผู้โจมตีสามารถปลอม IP ของเหยื่อเป็นต้นทาง แล้วส่งความพยายามเชื่อมต่อไปยังเป้าหมาย SSH หลายแห่ง เพื่อกระตุ้นรายงานการละเมิดอัตโนมัติ รายการบล็อก และการดำเนินการจากผู้ให้บริการโฮสติ้งได้
รายงานการละเมิดจาก Hetzner และการตรวจสอบเซิร์ฟเวอร์
- Hetzner ส่งอีเมล AbuseInfo สำหรับ IP
195.201.9.37- ผู้แจ้งคือ
abuse@watchdogcyberdefense.com - ในล็อกมีรายการ
DENIEDที่มุ่งไปยัง22/tcpของปลายทาง202.91.16x.xหลายรายการ
- ผู้แจ้งคือ
- เมื่อมองภายนอก ดูเหมือนว่าเซิร์ฟเวอร์เริ่มส่งการเชื่อมต่อ SSH ออกไปยังอินเทอร์เน็ต ซึ่งโดยทั่วไปเป็นสถานการณ์ที่น่าสงสัยว่าอาจมี มัลแวร์ติดเครื่อง
- ตรวจสอบอยู่ 1–2 ชั่วโมง แต่สถานะเซิร์ฟเวอร์ดูใกล้เคียงปกติ
- ไม่มีโปรเซสผิดปกติ
- ไม่มีการเปลี่ยนแปลงไฟล์ซิสเต็ม
- ไม่มีทราฟฟิกเครือข่ายผิดปกติเมื่อมองจากฝั่งไฮเปอร์ไวเซอร์
- เซิร์ฟเวอร์ดังกล่าวรันบริการแบบกระจายและแบบ federated หลายตัว
- Syncthing relay
- Mastodon instance
- Tor relay
- Matrix homeserver
- Tor relay มีการเชื่อมต่อไปยัง relay บางตัวที่ใช้
22/tcpแต่ไม่ตรงกับเครือข่ายในรายงาน และในล็อกของ Matrix/Mastodon รวมถึงคิว Mastodon Sidekiq ก็ไม่พบร่องรอยคำขอไปยัง IP หรือพอร์ตแบบสุ่ม
โฟลว์แพ็กเก็ตจริงที่ tcpdump แสดงให้เห็น
- ตอนแรกพยายามตรวจสอบทราฟฟิกที่ออกจากเซิร์ฟเวอร์ไปยัง
22/tcpภายนอกด้วยฟิลเตอร์dst port 22 - เมื่อเปลี่ยนฟิลเตอร์เป็น
not src host 195.201.9.37ก็เห็นแพ็กเก็ต TCP RST ที่เข้ามาจาก22/tcpของ IP ภายนอกหลายแห่งมายังพอร์ตชั่วคราวของเซิร์ฟเวอร์ผู้เขียน - ในความเป็นจริง ไม่ใช่เซิร์ฟเวอร์ส่งการเชื่อมต่อไปยัง
22/tcpของโฮสต์สุ่ม แต่เป็นลักษณะที่โฮสต์อินเทอร์เน็ตสุ่มส่งแพ็กเก็ต reset มายังเซิร์ฟเวอร์ - รูปแบบนี้ตรงกับ backscatter ที่แพ็กเก็ตตอบกลับย้อนมายัง IP ที่ถูกปลอม เนื่องจาก การปลอม IP ต้นทาง
การปลอม IP ต้นทางและช่องโหว่ของ BCP38
- บนอินเทอร์เน็ต IP ปลายทางต้องถูกต้อง แต่การส่งแพ็กเก็ตที่ตั้งค่า IP ต้นทางเป็นของปลอมไปยังหลายปลายทางยังทำได้
- BCP38 คือแนวปฏิบัติที่ถือว่าเป็น best practice ในปัจจุบัน ซึ่งระบุให้อนุญาตเฉพาะ IP address ที่คาดว่าเครือข่ายคู่เชื่อมต่อจะใช้เป็นต้นทางเท่านั้น
- การกรองนี้ต้องถูกนำไปใช้ตั้งแต่ช่วงต้นของเส้นทางแพ็กเก็ตจึงจะได้ผล
- ในระดับ transit provider รายใหญ่ การกรองอย่างมีความหมายทำได้ยาก เพราะ peer คาดหวังให้ provider ดังกล่าวส่งต่อทราฟฟิกทั้งอินเทอร์เน็ตให้
- แค่พบ transit provider ที่ไม่ได้ใช้ BCP38 เพียงรายเดียว ก็สามารถส่งแพ็กเก็ตที่ใส่ IP ต้นทางตามใจได้แล้ว
- APNIC เผยแพร่ บทความ ในปี 2023 ว่าทำไมการตรวจสอบความถูกต้องของที่อยู่ต้นทางยังคงเป็นปัญหา
- กลุ่ม TCP, QUIC, TLS ต้องมีการสื่อสารแบบไปกลับ ดังนั้นหากปลอม IP ต้นทาง ผู้โจมตีจะไม่เห็นการตอบกลับ
- ไม่เหมาะกับการตรวจสอบผลของการสแกนพอร์ตทั่วไป
- มีรูปแบบการใช้ในทางที่ผิดที่เป็นที่รู้จักอยู่แล้ว เช่น reflected DDoS
ทำไมการ spoofing แบบนี้จึงสร้างความเสียหายได้
- โฟลว์ที่เป็นไปได้มากที่สุดคือมีใครบางคนใช้ IP ของผู้เขียนเป็น IP ต้นทาง แล้วส่งความพยายามเชื่อมต่อไปยัง
22/tcpของโฮสต์อินเทอร์เน็ตหลายแห่ง - หากเป้าหมายคือการค้นหาพอร์ตเปิดแบบทั่วไป จะไม่สมเหตุสมผล เพราะผู้ปลอมจะไม่เห็นการตอบกลับ
- ในอดีตเคยมีเทคนิคชื่อ Idle Scanning แต่ต้องพึ่งพาเซิร์ฟเวอร์ที่ไม่ค่อยยุ่งและตัวนับใน network stack ที่คาดเดาได้ และแทบไม่ใช้งานได้จริงมาตั้งแต่หลายสิบปีก่อน
- ปริมาณทราฟฟิกต่ำเกินไปและระยะเวลายาวเกินไป ทำให้คำอธิบายว่าใส่ IP ต้นทางผิดในการตั้งค่าสแกนเนอร์ดูไม่น่าเชื่อเท่าไร
- ความเสียหายจริงเกิดจาก ระบบอัตโนมัติในการรายงานการละเมิด
- ความพยายามเชื่อมต่อที่ถูก spoof ไปถึงเครือข่ายที่มี honeypot หรือระบบตรวจจับการบุกรุก
- บางระบบส่งรายงานการละเมิดโดยอัตโนมัติ
- ผู้ให้บริการโฮสติ้งอาจเข้าใจผิดว่าเซิร์ฟเวอร์ของเหยื่อถูกเจาะหรือเป็นอันตราย
รูปแบบที่เกิดซ้ำใน Tor relay อื่น
- ผู้เขียนยืนยันอีกครั้งว่าเซิร์ฟเวอร์ของตนทำงานเป็น Tor relay
- Tor relay เป็นโหนดภายในเครือข่าย Tor และหากไม่ใช่ exit node ก็จะไม่สื่อสารโดยตรงกับอินเทอร์เน็ตสาธารณะ
- relay ส่งต่อทราฟฟิกนิรนามที่เข้ารหัสระหว่างโหนดที่เข้าร่วมเครือข่าย Tor
- relay บางตัวทำหน้าที่เป็น Guard Node และเป็นจุดเข้าสู่เครือข่าย Tor ได้
- ผู้เขียนรัน
tcpdumpบน relay เพิ่มอีก 2 ตัวที่อยู่คนละประเทศและคนละ ISP- relay บนสายอินเทอร์เน็ตบ้าน
- relay บน Linode VPS ในญี่ปุ่น
- relay ทั้งสองตัวก็พบ รูปแบบ TCP response ที่ถูก spoof แบบเดียวกันจาก
22/tcpภายนอกมายัง IP ของ relay - ผู้เขียนส่งอีเมลไปยัง เมลลิงลิสต์
tor-relaysและมี issue ของ Tor Project ที่วิเคราะห์ปรากฏการณ์เดียวกันอยู่ก่อนแล้วตั้งแต่หลายวันก่อน - การโจมตีแบบ spoofing นี้เริ่มจากโหนดประเภทอื่นก่อน relay และมีกรณีที่การเชื่อมต่อปลอมในขนาดใหญ่ขึ้นทำให้บางโหนดล่มชั่วคราว
โฟลว์การโจมตีที่ใครก็อาจตกเป็นเป้าได้
- โฟลว์การโจมตีที่เป็นไปได้มีดังนี้
- ผู้โจมตีเข้าถึง เครือข่ายที่ไม่มีการกรอง BCP38
- ส่งคำขอเชื่อมต่อ TCP ไปยัง
22/tcpของโฮสต์อินเทอร์เน็ตแบบสุ่มจำนวนมาก - ปลอม IP ต้นทางเป็น IP ของเหยื่อ
- โฮสต์ปลายทางหรือระบบความปลอดภัยมองว่าเหยื่อพยายามเชื่อมต่อ และส่งรายงานการละเมิด
- หากมีปริมาณมากพอ IP ของเหยื่ออาจถูกเพิ่มในหลายรายการบล็อก และผู้ให้บริการโฮสติ้งอาจระงับเซิร์ฟเวอร์
- การโจมตีนี้ไม่มีองค์ประกอบที่เฉพาะเจาะจงกับ Tor
- วิธีนี้ดูไม่ได้ยากเป็นพิเศษสำหรับผู้โจมตีคนเดียวที่มีแรงจูงใจ
- เหยื่อไม่ใช่ผู้โจมตีจริง แต่เป็นเจ้าของ IP ต้นทางที่ถูกปลอม ทว่าอาจได้รับความเสียหายด้านการปฏิบัติการจากรายงานการละเมิดอัตโนมัติและการตอบสนองของผู้ให้บริการโฮสติ้ง
ปัญหาด้านการดำเนินงานของอินเทอร์เน็ตที่ยังคงอยู่ในปี 2024
- การที่ IP ต้นทางปลอม ยังเป็นปัญหาในปี 2024 นั้นแทบจะเป็นความล้มเหลวด้านการดำเนินงานของอินเทอร์เน็ต
- ไม่ใช่แค่ BCP38 เท่านั้น RPKI ก็ประสบปัญหาคล้ายกันในด้านการนำไปใช้ และเพิ่งเริ่มขยายตัวเมื่อบริษัทอินเทอร์เน็ตรายใหญ่เริ่มบังคับข้อกำหนดกับ peer โดยตรง
- ขั้นตอนถัดไปสำหรับการโจมตีนี้ยังไม่ชัดเจน
- มันกำลังเกิดขึ้นจริงแล้ว
- ผู้เขียนไม่ทราบว่าเป็นการโจมตีที่เคยมีการบันทึกไว้แล้วหรือไม่
- ผู้เขียนไม่ทราบวิธีติดตามแหล่งที่มาจริงของแพ็กเก็ต IP ปลอมย้อนหลัง
- ผู้ดูแลระบบที่ได้รับรายงานการละเมิดคล้ายกันควรตรวจสอบว่าเซิร์ฟเวอร์อาจเป็นเหยื่อ ไม่ใช่ผู้ก่อเหตุ และควรรวบรวมหลักฐานสำหรับอธิบายต่อผู้ให้บริการโฮสติ้ง
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ปัญหาประเภทนี้จัดการได้น่ารำคาญจริง ๆ เพราะคำตอบที่ถูกต้องต่อรายงานการละเมิดอย่าง “มีคน spoof IP ของผม ไม่ใช่ผม และอุปกรณ์ของผมก็ไม่ได้ถูกเจาะ” นั้น เหมือนกับข้ออ้างที่ผู้ไม่หวังดีจะยกมาแบบเป๊ะ ๆ
สุดท้ายก็ต้อง พิสูจน์ความไม่อยู่ ณ ที่เกิดเหตุ ให้ฝ่ายตรงข้ามที่แทบไม่ได้สนใจอะไรเหมือนในบทความ ซึ่งในทางปฏิบัติแทบเป็นไปไม่ได้
รายงานการละเมิดอัตโนมัติสำหรับสิ่งที่ spoof ได้ง่าย ๆ ไม่ได้ทำให้รายงานนั้นชอบธรรมในตัวมันเอง แต่ก็อาจเป็นเหตุผลให้ตรวจสอบอย่างรวดเร็วว่าเซิร์ฟเวอร์ของผมทำงานปกติและไม่ได้ถูกยึดไปหรือไม่
อย่างน้อยต้องมีหลักฐานเรื่องตัวตนและเขตอำนาจศาล และอาจต้องมีอะไรอย่างวิดีโอคอลด้วย แค่พูดแบบไม่เปิดเผยตัวบนอินเทอร์เน็ตว่า “ผมเป็นคนดี” แล้วขอให้เชื่อ มันไม่พอ
MAC address, อีเมลแอดเดรส, ข้อความ ARP, Neighbor Discovery และใบรับรอง TLS ของคนกลางที่ถูก spoof ก็เหมือนกัน
น่าทึ่งด้วยซ้ำที่ยังมีอะไรทำงานได้อยู่
ถ้าทำให้มันถูกออกแบบและดำเนินการอย่างสมบูรณ์แบบ มันอาจพังหนักค่อนข้างบ่อยกว่าเดิมด้วยซ้ำ คุณสมบัติที่ทนต่อความไม่สมบูรณ์เล็ก ๆ น้อย ๆ มีส่วนอย่างมากต่อความแข็งแกร่งและประโยชน์ใช้สอยของอินเทอร์เน็ต
ไม่ได้หมายความว่าไม่ควรปรับปรุง แต่เป็นคำเตือนมากกว่าว่าถ้าไล่ตาม ความสมบูรณ์แบบนิยม ก็มีโอกาสทำผิดพลาดครั้งใหญ่จนทำให้ทุกอย่างพังได้ง่าย
เมื่อก่อนเราเคยสแกน เซิร์ฟเวอร์สะท้อน DrDoS ด้วยวิธีคล้ายกัน บริษัทโฮสติ้งไม่มีใครอยากรับรายงาน port scan ดังนั้นถ้าตั้งที่อยู่ต้นทางของการสแกนเป็น IP ของผู้ให้บริการคลาวด์ที่บริสุทธิ์และมีชื่อเสียงดี เซิร์ฟเวอร์สะท้อนก็จะส่ง UDP response ไปทางนั้นอย่างดี
บริษัทคลาวด์ย่อมได้รับรายงานมหาศาล แต่ถ้าบอกว่าจากเซิร์ฟเวอร์ของผมไม่ได้สแกน ผู้ให้บริการก็จะตรวจสอบและไม่ปิดบริการ เซิร์ฟเวอร์ที่ส่งแพ็กเก็ตสแกนแบบ spoof จะไม่ถูกตรวจพบ จึงสามารถสแกนทั้งอินเทอร์เน็ตซ้ำ ๆ ได้โดยไม่ต้องเจอปัญหารายงานการละเมิดตามปกติ
ไม่รู้ว่าในความเป็นจริงเกิดขึ้นบ่อยแค่ไหน แต่ถ้าร่วมมือกับผู้ให้บริการขนส่งข้อมูลแล้วไล่ย้อนกลับไปตาม hop ก็สามารถตามหาต้นทางของแพ็กเก็ต spoof ได้ ครั้งหนึ่ง JPMorgan เคยร่วมมือกับ Cogent แล้วมาแจ้งว่าอย่าส่งแพ็กเก็ตไปยัง IP address ของพวกเขา อนึ่ง Cogent นับว่าเป็นหนึ่งในผู้ให้บริการ Tier 1 ของอินเทอร์เน็ตที่ค่อนข้างผ่อนปรนกับการ spoof
เพิ่งเคยได้ยินว่าวิธีนี้ถูกใช้เจาะจงกับ Tor และมันค่อนข้างขัดกับสัญชาตญาณ เพราะถ้าเป็นฝ่ายที่ส่งแพ็กเก็ต spoof ก็น่าจะเป็นผู้สนับสนุน Tor มากกว่า เป็นไปได้สูงว่าเป็นแค่โทรลล์ และโชคดีที่ผู้ให้บริการที่โฮสต์ Tor คงไม่ใส่ใจกับเรื่องแบบนี้มากนัก
อาจเป็นแค่โทรลล์ก็ได้ แต่ก็อาจเป็นฝ่ายที่อยากทำให้ Tor ถูกมองเหมือน กากกัมมันตรังสี เพราะมันขัดขวางงานเฝ้าระวัง
เรื่องนี้ไม่ใช่เรื่องใหม่ หลายปีก่อนผมเคยสร้างกฎไฟร์วอลล์พื้นฐานมาก ๆ โดยถ้าเป็นแพ็กเก็ต TCP ขาเข้าที่มีพอร์ตปลายทาง 22 และ SYN=1, ACK=0 ก็จะบล็อก IP ต้นทางเป็นเวลาหนึ่งวัน
แต่แล้วก็มีคนบ่นว่าเข้าเว็บและบริการบางอย่างไม่ได้ ปรากฏว่าทุก ๆ สองสามวันจะมีแพ็กเก็ตแบบนั้นมาจาก IP ของเซิร์ฟเวอร์ยอดนิยมอย่าง 8.8.8.8, 1.1.1.1, Steam, Roblox, Microsoft, Facebook, Instagram และบริการแชตต่าง ๆ แน่นอนว่าทั้งหมดเป็น แพ็กเก็ต spoof สุดท้ายเลยต้องเพิ่มการตรวจสอบให้กฎไฟร์วอลล์อีกเล็กน้อย
ดังนั้นผมค่อนข้างมั่นใจว่านี่เป็นเรื่องที่พบได้บ่อย ส่วนตัวรู้ว่าผมเป็นกรณีพิเศษที่ใช้งานหลาย IP address แต่ผมต้องการความยืดหยุ่นที่จะใช้ที่อยู่ต้นทางใดก็ได้ของตัวเองเพื่อส่งแพ็กเก็ตผ่าน ISP ใดก็ได้ นี่สำคัญสำหรับผม และถ้า ISP กรองตามต้นทางก็เป็นเหตุผลพอให้เลิกทำธุรกิจกัน แล้วผมจะย้ายไป ISP อื่น
กรณีหลังจัดอยู่ในแนวเดียวกับ “เปิดฮีตเตอร์สเปซบาร์กลับมาอีกครั้ง” มากกว่า และหวังว่า ISP ทั้งหลายจะแก้เครือข่ายที่พังของตัวเอง
บริษัทแห่งหนึ่งโฮสต์เว็บแอสเซ็ตบางส่วนไว้ที่สาขาแบบ on-premises และที่นั่นมีลิงก์ 1Gbps ที่สำนักงานใหญ่มีลิงก์ 10G หลายเส้นและดาต้าเซ็นเตอร์ที่ค่อนข้างดี จึงย้ายเว็บ VM ไปที่สำนักงานใหญ่ แต่ยังคง IP address ที่ได้รับจัดสรรไว้ นั่นคือ public static IP ของ ISP-A เอาไว้ โดย route ผ่าน VPN ไปยังสำนักงานใหญ่ และเซิร์ฟเวอร์ส่ง response ที่มี IP ต้นทางของ ISP-A ออกทางลิงก์ 10G ของ ISP-B ผ่าน default gateway
วิธีนี้ทำให้แม้ขาเข้าจะถูกจำกัดที่ 1G แต่ขาออกก็ใช้ 10G ได้ ยังไงก็มีแต่ GET request อยู่แล้ว ไม่ใช่การตั้งค่าที่เหมาะที่สุด และสุดท้ายก็เปลี่ยน IP แต่ดูเป็นกรณีใช้งานที่สมเหตุสมผล
ตัวอย่างที่สอง มีลิงก์จาก ISP สองรายต่างกัน พร้อม ASN ของตัวเองและช่วง /23 ของตัวเอง ต้องการทำ load balancing ทราฟฟิกบางส่วน เลยส่ง IP ครึ่งหนึ่งไปทาง ISP-A และอีกครึ่งไปทาง ISP-B มันทำงานได้ดี แต่พอพยายามผสมสมดุลให้มากขึ้น ก็พบปัญหาน่าสนใจ เราประกาศ /24 แรกไปที่ ISP-A และ /24 ที่สองไปที่ ISP-B แต่ ISP-A มี RP filtering อยู่ เลยต้องประกาศ IP ทั้งหมดไปทางนั้นด้วย
ด้วยวิธีการทำงานของ RP filter จึงทำอะไรอย่าง prepend ไม่ได้ และทราฟฟิกทั้งหมดต้องเข้ามาทางพวกเขา ถ้าเห็นเส้นทางที่ดีกว่าสำหรับ prefix นั้นก็จะกรองทิ้ง พวกเขาปฏิเสธจะแก้ไขอยู่หลายเดือนโดยอ้างเรื่องความปลอดภัย ในเมื่ออ้างว่าเป็นแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย ก็น่าจะเปิดชื่อ ISP ได้ นั่นคือ Virgin Media
อนึ่ง ลิงก์อินเทอร์เน็ตที่มี rp_filter นี้ไม่ใช่เดือนละ 20 ดอลลาร์ แต่เดือนละมากกว่า 5,000 ดอลลาร์ ในพื้นที่นั้นไม่มีทางเลือกอื่นจึงเปลี่ยนไม่ได้ แต่ถ้ามีทางเลือก ก็เห็นชัดว่าใครจะเสียสัญญาไป
สมมติฐานที่ว่า “มีใครบางคนเกลียด Tor relay” ดูไม่น่าเชื่อเท่าไรเมื่อเทียบกับความพยายามที่ต้องลงไป
อาจเป็นไปได้ว่าผู้ที่รัน relay อันตรายกำลังดึง relay ที่ถูกกฎหมายลงอย่างผิดจริยธรรม เพื่อเพิ่มสัดส่วนของเครือข่ายที่ตนควบคุม
แค่เปิดดาวน์โหลด BitTorrent ไม่กี่รายการก็อาจเพียงพอแล้ว
ต้องใช้อะไรบ้างเพื่อให้ผู้ให้บริการเครือข่ายจำนวนมากพอปฏิเสธ traffic จาก AS ทุกแห่งที่ไม่ทำ BCP38 จนทำให้การ spoof ทำไม่ได้อีกต่อไป?
เพราะควบคุม inbound traffic ได้มากพออยู่แล้ว “กำลังตรวจสอบความปลอดภัยของการเชื่อมต่อ” จึงอาจมีความหมายจริงขึ้นมา
อย่างไรก็ตาม การลดค่าสัมประสิทธิ์การสะท้อนแบบขยายผลนั้นง่ายกว่ามาก เพราะ IPv4 สามารถสแกนหา reflection vector ได้ และสามารถไปร้องเรียนกับคนที่ตอบกลับเป็น 10 เท่าของจำนวน byte ที่ส่งเข้าไปได้
เป็นปัญหาคล้ายกับ swatting คืออาศัยให้ผู้มีอำนาจดำเนินมาตรการรุนแรงจากรายงานปัญหาที่ยังไม่ได้ตรวจสอบ
จุดต่างน่าจะอยู่ที่ แทนที่จะติดต่อผู้มีอำนาจโดยตรง กลับใช้บุคคลที่สามที่ไม่เกี่ยวข้องให้เป็นคนส่งรายงานแทน
สำหรับคำขอที่เป็น packet เดียวและไม่มี round trip ระบบไม่ควรส่งรายงาน abuse โดยอัตโนมัติ เว้นแต่จะเป็น traffic ระดับ denial-of-service
โดยเฉพาะถ้าเป็น SSH ก่อนที่จะมี handshake ใด ๆ เกิดขึ้น ก็ไม่มีทางถือได้ว่าเป็นความพยายามเชื่อมต่อที่ถูกต้อง
เซิร์ฟเวอร์หลักของผมก็เคยถูกปิดเพราะรายงาน abuse ปลอมเช่นกัน เขาอ้างว่าได้รับการโจมตี DoS เกิน 1Gbps จาก IP ของผม แต่สายของเซิร์ฟเวอร์ผมถูกจำกัดไว้ที่ 400Mbps ถ้ามีคนอ่านรายงานจริง ๆ ก็คงรู้ว่าเป็นไปไม่ได้ และผมคงไม่ต้องเถียงกับฝ่าย support ทางโทรศัพท์อยู่สองวันระหว่างลาพักร้อน
นี่เหมือน swatting เวอร์ชัน IP, การกลั่นแกล้งด้วยสิทธิบัตร, การใส่ร้ายผู้บริสุทธิ์ หรือคำขอ DMCA takedown เพื่อกำจัดคู่แข่ง
โดยพื้นฐานคือการทำให้กลไกป้องกัน abuse กลายเป็นอาวุธเพื่อโจมตีเป้าหมายที่ไม่ชอบ จุดที่น่าสนใจคือผู้มีอำนาจกลายเป็นจุดอ่อน และอาจถูกใช้เชิงรุกเพื่อบรรลุเป้าหมายของผู้กระทำที่ไร้ศีลธรรมได้ แต่ก็ไม่ใช่ปรากฏการณ์ใหม่โดยสิ้นเชิง
ดูจากกราฟจำนวน relay และ “advertised bandwidth” บน metrics.torproject.org แล้ว ดูเหมือนจะไม่ได้สร้างความแตกต่างมากนัก แต่ก็ยังน่าสนใจอยู่ดี
สิ่งที่แย่ที่สุดคือพวกที่ทำตัวเหมือนนักข่มขู่อย่าง “Watchdog Cyber Defense”, Spamhaus, Shadowserver หรือ UCEPROTECT สามารถส่งรายงานอัตโนมัติเป็นล้าน ๆ ฉบับได้ และโฮสต์แทบไม่มีทางเลือกนอกจากต้องฟังรายงานเหล่านั้น หากไม่อยากให้ช่วง IP ของตนไปติด blocklist
ไม่มี วิธีแก้ในแบนด์เดียวกัน สำหรับปัญหานี้ แต่อาจมีวิธีแก้นอกแบนด์ได้
เช่น (1) แจ้ง ISP ปลายทางว่ากำลังได้รับ traffic ย้อนกลับ, (2) ISP นั้นตรวจสอบว่า packet มาจากไหนแล้วแจ้ง ISP นั้น, (3) ทำซ้ำขั้นตอนที่ 2 จนกว่าจะพบต้นทาง, (4) แยกเครือข่ายส่วนนั้นออกจนกว่าจะทำงานได้ถูกต้อง
สุดท้ายแล้ว อินเทอร์เน็ตก็ประกอบขึ้นจากผู้คน