alvaroag
05/10/2016, 14:49
Publicado inicialmente por pepejlr
ataques ddos ips de ovh, que debo hacer para que sancionen a ese usuario?
Publicado inicialmente por pepejlr
pepejlr
05/10/2016, 02:14
¿Ese ataque te consume el ancho de banda disponible de tu servidor? ¿Tira todos los servicios o solo tira el servicio HTTP (Apache o Nginx)?
Me extraña que un paquete HTTP malformado consiga tirar toda una máquina entera. Parece que la solución pasa por escanear el paquete, buscar algún tipo de patrón y filtrarlo con un deny en HTTP o en IPtables.
Publicado inicialmente por victorsanchiz
No tiene nada que ver. El email de OVH es únicamente informativo y explica que el servicio hacia los usuarios de Movistar está siendo inestable debido a un ataque procedente del AS de Telefónica de España usando firmware con vulnerabilidades en cámaras web conectadas a Internet y que OVH intenta mitigar con poco éxito.
Me extraña que un paquete HTTP malformado consiga tirar toda una máquina entera. Parece que la solución pasa por escanear el paquete, buscar algún tipo de patrón y filtrarlo con un deny en HTTP o en IPtables.
Publicado inicialmente por victorsanchiz
ohenry
04/10/2016, 19:10
¿Sin solución?
http://guia-paginas.com/virus-archivos-odin/
http://guia-paginas.com/virus-archivos-odin/
victorsanchiz
08/09/2016, 18:35
Puede ser que también afecte a los servidores de todos los usuarios de ovh los ataques? porque todas las webs los pasados días han estado caidas en varios momentos y ahora acabo de recibir un email de ovh explicandolo pero no entiendo nada basicamente
killexx
04/07/2016, 03:38
bueno aun quede en vias de la solucion, pero como se que son ataques con proxys cada vez que recibo uno nuevo escaneo unas cuantas ip y actualizo una lista que tengo, ya llevo 37000 ip baneadas
NDCdHost
04/07/2016, 03:31
Killex, en mi caso me pasado con ataques y entradas de fuerza bruta a cPanel, con IP de OVH, lo cual enviado ticket de soporte.
Hasta el momento nunca han respondido por ese tema, trata de usar csf, ya que tiene una opción de bloquear dichas IP que han generado almeno un ataques DDos.
Hasta el momento nunca han respondido por ese tema, trata de usar csf, ya que tiene una opción de bloquear dichas IP que han generado almeno un ataques DDos.
killexx
30/06/2016, 00:30
parece un ataque miserable con ese log, la mayoria de paquetes son syn pero el problema es que nada lo detiene, he tirado unos 300$ esta semana cambiando proveedor y pagando servidor managed y hasta el momento igual.
las ip de ovh las mande a abuso porque en cierto modo se que a la gente la terminan sancionando porque a otro personaje que tenia servidores para hacer lo mismo le cancelaron la cuenta. y tambien se que si llegasen al menos a ponerle una infraccion se queda quieto porque es el mismo "de chile" que me ataca siempre por rivalidad.
otro tipo de ataques con stressers se los traga el firewall sin novedad pero este si no he visto manera
las ip de ovh las mande a abuso porque en cierto modo se que a la gente la terminan sancionando porque a otro personaje que tenia servidores para hacer lo mismo le cancelaron la cuenta. y tambien se que si llegasen al menos a ponerle una infraccion se queda quieto porque es el mismo "de chile" que me ataca siempre por rivalidad.
otro tipo de ataques con stressers se los traga el firewall sin novedad pero este si no he visto manera
alvaroag
29/06/2016, 23:56
Comenzando a leer tu mensaje, iba a sugerirte que envíes el caso a abuse, pero veo que ya has hecho eso. En cuanto a OVH, es lo único que puedes hacer. El staff de soporte, que son los que administran este foro, te dirán lo mismo, ya que los equpos que ven los casos de abuse no están en contacto directo con los usuarios.
Sobre los casos reportados a buse, debes tener en cuenta que, debido al tamaño y la cantidad de clientes de OVH, reciben muchos reportes de abuso, por lo que no deberías esperar una respuesta y/o acción inmediata
Lo que recibes en realidad no son ataques DDOS. Como mucho podrían ser considerados ataques a nivel de aplicación. Un ataque DDOS es algo mucho más complejo, y es a nivel de red.
Basado en mi experiencia como sysadmin, te puedo decir que no te preocupes mucho por esto, ya que así como recibes ataques desde esas IPs de OVH, los recibirás de todas partes del mundo. Yo, administrando unos 20 servidores, recibo hasta 200000 intentos de acceso diariamente entre todos los servidores, y en la mayoría de los casos, mandar al abuse respectivo no me serviría de nada, pues son de ISPs a los que no les importan los reclamos(como ChinaNet, por ejemplo).
Lo mejor que puedes hacer es mantener tus servidores actualizados y asegurados, con políticas de seguridad(tanto firewall como aplicación) lo más restrictivas posibles.
Sobre los casos reportados a buse, debes tener en cuenta que, debido al tamaño y la cantidad de clientes de OVH, reciben muchos reportes de abuso, por lo que no deberías esperar una respuesta y/o acción inmediata
Lo que recibes en realidad no son ataques DDOS. Como mucho podrían ser considerados ataques a nivel de aplicación. Un ataque DDOS es algo mucho más complejo, y es a nivel de red.
Basado en mi experiencia como sysadmin, te puedo decir que no te preocupes mucho por esto, ya que así como recibes ataques desde esas IPs de OVH, los recibirás de todas partes del mundo. Yo, administrando unos 20 servidores, recibo hasta 200000 intentos de acceso diariamente entre todos los servidores, y en la mayoría de los casos, mandar al abuse respectivo no me serviría de nada, pues son de ISPs a los que no les importan los reclamos(como ChinaNet, por ejemplo).
Lo mejor que puedes hacer es mantener tus servidores actualizados y asegurados, con políticas de seguridad(tanto firewall como aplicación) lo más restrictivas posibles.
killexx
29/06/2016, 22:38
bueno dado que ya me esta reventando la cabeza este problema quisiera que me ayudaran a ver si soy yo que reporto de manera incorrecta las IP que me estan atacando.
Llevo ya 1 semana en esto otra persona que tiene un dedicado o varios supongo en ovh cada vez que quiere me hace ataques con proxy y me satura los servicios, no he conseguido detener este ataque de ningun modo, ni el vac en mitigacion permanente hace nada.
Un amigo me ayudo a descubrir los headers en unas peticiones HTTP que se vienen mezcladas con el ataque (SYN+ACK+HTTP GET) y siempre al final se muestra la ip de origen la cual en los whois es proveniente de OVH, envie un ticket a abuso para que lo sancionen pero aun me sigue atacando al paso de 2 dias y de verdad es molesto que dejen que usen sus servicios para estos fines
En mi ticket de abuso (abuse.ovh.net) especifico que recibo ataques proxy a el puerto tcp que ven desde esa ip, y envio el archivo pcap y parte del log que saque del mismo
El primer escaneo que envie lo hice con tcpdump y el segundo con wireshark porque el primer servicio es un servidor WHM con haproxy y el segundo un vps windows
espero que me puedan guiar o algun staff de ovh me diga como es el proceso
Llevo ya 1 semana en esto otra persona que tiene un dedicado o varios supongo en ovh cada vez que quiere me hace ataques con proxy y me satura los servicios, no he conseguido detener este ataque de ningun modo, ni el vac en mitigacion permanente hace nada.
Un amigo me ayudo a descubrir los headers en unas peticiones HTTP que se vienen mezcladas con el ataque (SYN+ACK+HTTP GET) y siempre al final se muestra la ip de origen la cual en los whois es proveniente de OVH, envie un ticket a abuso para que lo sancionen pero aun me sigue atacando al paso de 2 dias y de verdad es molesto que dejen que usen sus servicios para estos fines
En mi ticket de abuso (abuse.ovh.net) especifico que recibo ataques proxy a el puerto tcp que ven desde esa ip, y envio el archivo pcap y parte del log que saque del mismo
El primer escaneo que envie lo hice con tcpdump y el segundo con wireshark porque el primer servicio es un servidor WHM con haproxy y el segundo un vps windows
espero que me puedan guiar o algun staff de ovh me diga como es el proceso
Código:
88 0.107697 103[.]43[.]44[.]61 xxx[.]99[.]157[.]61 HTTP 495 GET / HTTP/1.1
0000 02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24 .....0........E$
0010 01 e1 20 76 40 00 34 06 33 74 67 2b 2c 3d c0 63 .. v@.4.3tg+,=.c
0020 9d 3d cd 08 ae f0 65 1f 33 1c d2 73 0d ab 80 18 .=....e.3..s....
0030 00 73 5d 32 00 00 01 01 08 0a 92 20 15 90 07 3d .s]2....... ...=
0040 7b 4f 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 {OGET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31 ..Host: xxx.99.1
0060 35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65 57.61:44784..Use
0070 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 r-Agent: Mozilla
0080 2f 35 2e 30 20 28 58 31 31 3b 20 4c 69 6e 75 78 /5.0 (X11; Linux
0090 20 78 38 36 5f 36 34 29 20 41 70 70 6c 65 57 65 x86_64) AppleWe
00a0 62 4b 69 74 2f 35 33 36 2e 35 20 28 4b 48 54 4d bKit/536.5 (KHTM
00b0 4c 2c 20 6c 69 6b 65 20 47 65 63 6b 6f 29 20 43 L, like Gecko) C
00c0 68 72 6f 6d 65 2f 31 39 2e 30 2e 31 30 38 34 2e hrome/19.0.1084.
00d0 39 20 53 61 66 61 72 69 2f 35 33 36 2e 35 0d 0a 9 Safari/536.5..
00e0 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a Accept-Encoding:
00f0 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a gzip, deflate..
0100 56 69 61 3a 20 31 2e 31 20 65 6e 67 69 6e 65 2e Via: 1.1 engine.
0110 69 6e 64 65 78 73 69 74 65 2e 69 64 20 28 73 71 indexsite.id (sq
0120 75 69 64 2f 33 2e 33 2e 38 29 0d 0a 58 2d 46 6f uid/3.3.8)..X-Fo
0130 72 77 61 72 64 65 64 2d 46 6f 72 3a 20 32 33 38 rwarded-For: 238
0140 2e 34 31 2e 34 38 2e 31 36 35 2c 20 32 33 33 2e .41.48.165, 233.
0150 31 31 38 2e 31 33 30 2e 31 39 35 2c 20 33 35 2e 118.130.195, 35.
0160 38 34 2e 31 37 32 2e 34 39 2c 20 31 39 31 2e 32 84.172.49, 191.2
0170 30 2e 31 32 2e 31 38 36 2c 20 33 38 2e 36 33 2e 0.12.186, 38.63.
0180 31 39 34 2e 31 38 38 2c 20 38 33 2e 32 30 37 2e 194.188, 83.207.
0190 34 34 2e 33 35 2c 20 38 2e 31 31 35 2e 31 33 34 44.35, 8.115.134
01a0 2e 32 34 37 2c 20 31 36 37 2e 31 31 34 2e 31 32 .247, 167.114.12
01b0 36 2e 36 32 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 6.62..Cache-Cont
01c0 72 6f 6c 3a 20 6d 61 78 2d 61 67 65 3d 32 35 39 rol: max-age=259
01d0 32 30 30 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 200..Connection:
01e0 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 0d 0a keep-alive....
276 0.326248 203[.]192[.]12[.]149 xxx[.]99[.]157[.]61 HTTP 380 GET / HTTP/1.1
0000 02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24 .....0........E$
0010 01 6e 82 12 40 00 28 06 99 5d cb c0 0c 95 c0 63 .n..@.(..].....c
0020 9d 3d 6f 49 ae f0 4e 19 58 6b c9 55 4a a1 80 18 .=oI..N.Xk.UJ...
0030 00 2e a2 c1 00 00 01 01 08 0a 33 37 db 6c 07 3d ..........37.l.=
0040 7b 83 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 {.GET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31 ..Host: xxx.99.1
0060 35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65 57.61:44784..Use
0070 72 2d 41 67 65 6e 74 3a 20 4f 70 65 72 61 2f 39 r-Agent: Opera/9
0080 2e 38 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20 .80 (Windows NT
0090 36 2e 30 29 20 50 72 65 73 74 6f 2f 32 2e 31 32 6.0) Presto/2.12
00a0 2e 33 38 38 20 56 65 72 73 69 6f 6e 2f 31 32 2e .388 Version/12.
00b0 31 34 0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 14..Accept-Encod
00c0 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 ing: gzip, defla
00d0 74 65 0d 0a 58 2d 46 6f 72 77 61 72 64 65 64 2d te..X-Forwarded-
00e0 46 6f 72 3a 20 31 36 37 2e 32 32 39 2e 35 32 2e For: 167.229.52.
00f0 31 36 33 2c 20 31 32 35 2e 37 30 2e 31 30 34 2e 163, 125.70.104.
0100 31 32 39 2c 20 32 34 31 2e 32 31 31 2e 31 32 38 129, 241.211.128
0110 2e 31 36 2c 20 31 34 35 2e 32 32 36 2e 36 32 2e .16, 145.226.62.
0120 31 39 37 2c 20 38 38 2e 32 34 31 2e 31 35 36 2e 197, 88.241.156.
0130 34 34 2c 20 31 30 33 2e 37 37 2e 32 36 2e 32 30 44, 103[.]77[.]26[.]20
0140 30 2c 20 33 35 2e 35 32 2e 31 35 35 2e 32 34 33 0, 35[.]52[.]155[.]243
0150 2c 20 31 36 37 2e 31 31 34 2e 31 32 36 2e 36 32 , 167[.]114[.]126[.]62
0160 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 ..Connection: Ke
0170 65 70 2d 41 6c 69 76 65 0d 0a 0d 0a ep-Alive....
591 0.667554 178[.]22[.]148[.]122 xxx[.]99[.]157[.]61 HTTP 445 GET / HTTP/1.1
0000 02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24 .....0........E$
0010 01 af 01 7d 40 00 32 06 a1 76 b2 16 94 7a c0 63 ...}@.2..v...z.c
0020 9d 3d 80 f1 ae f0 72 8a ce f2 47 e2 4e 9e 80 18 .=....r...G.N...
0030 00 5c 98 db 00 00 01 01 08 0a d8 51 d2 9b 07 3d .\.........Q...=
0040 7b b2 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 {.GET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31 ..Host: xxx.99.1
0060 35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65 57.61:44784..Use
0070 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 r-Agent: Mozilla
0080 2f 35 2e 30 20 28 58 31 31 3b 20 55 62 75 6e 74 /5.0 (X11; Ubunt
0090 75 3b 20 4c 69 6e 75 78 20 78 38 36 5f 36 34 3b u; Linux x86_64;
00a0 20 72 76 3a 32 34 2e 30 29 20 47 65 63 6b 6f 2f rv:24.0) Gecko/
00b0 32 30 31 30 30 31 30 31 20 46 69 72 65 66 6f 78 20100101 Firefox
00c0 2f 32 34 2e 30 0d 0a 41 63 63 65 70 74 2d 45 6e /24.0..Accept-En
00d0 63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 coding: gzip, de
00e0 66 6c 61 74 65 0d 0a 56 69 61 3a 20 31 2e 31 20 flate..Via: 1.1
00f0 6c 6f 63 61 6c 68 6f 73 74 20 28 73 71 75 69 64 localhost (squid
0100 2f 33 2e 31 2e 31 39 29 0d 0a 58 2d 46 6f 72 77 /3.1.19)..X-Forw
0110 61 72 64 65 64 2d 46 6f 72 3a 20 31 32 2e 31 38 arded-For: 12.18
0120 39 2e 32 32 39 2e 32 35 31 2c 20 31 34 2e 32 34 9.229.251, 14.24
0130 34 2e 31 37 37 2e 31 37 34 2c 20 35 2e 32 33 37 4.177.174, 5.237
0140 2e 32 2e 31 33 37 2c 20 38 36 2e 34 35 2e 37 37 .2.137, 86.45.77
0150 2e 31 30 38 2c 20 32 34 34 2e 36 2e 31 32 34 2e .108, 244.6.124.
0160 31 38 33 2c 20 36 34 2e 32 31 38 2e 31 34 38 2e 183, 64.218.148.
0170 37 32 2c 20 31 36 37 2e 31 31 34 2e 31 32 36 2e 72, 167.114.126.
0180 36 32 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 62..Cache-Contro
0190 6c 3a 20 6d 61 78 2d 61 67 65 3d 32 35 39 32 30 l: max-age=25920
01a0 30 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 0..Connection: k
01b0 65 65 70 2d 61 6c 69 76 65 0d 0a 0d 0a eep-alive....
593 0.667981 197[.]243[.]50[.]242 xxx[.]99[.]157[.]61 HTTP 508 GET / HTTP/1.1
0000 02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24 .....0........E$
0010 01 ee 79 26 00 00 27 06 c2 39 c5 f3 32 f2 c0 63 ..y&..'..9..2..c
0020 9d 3d 56 4f ae f0 66 3c 70 51 77 84 9c 30 80 18 .=VO..f<pQw..0..
0030 02 00 a7 a9 00 00 01 01 08 0a 20 86 78 32 07 3d .......... .x2.=
0040 7b a4 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 {.GET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31 ..Host: xxx.99.1
0060 35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65 57.61:44784..Use
0070 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 r-Agent: Mozilla
0080 2f 35 2e 30 20 28 4d 61 63 69 6e 74 6f 73 68 3b /5.0 (Macintosh;
0090 20 49 6e 74 65 6c 20 4d 61 63 20 4f 53 20 58 20 Intel Mac OS X
00a0 31 30 2e 36 3b 20 72 76 3a 32 35 2e 30 29 20 47 10.6; rv:25.0) G
00b0 65 63 6b 6f 2f 32 30 31 30 30 31 30 31 20 46 69 ecko/20100101 Fi
00c0 72 65 66 6f 78 2f 32 35 2e 30 0d 0a 41 63 63 65 refox/25.0..Acce
00d0 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 67 7a 69 pt-Encoding: gzi
00e0 70 2c 20 64 65 66 6c 61 74 65 0d 0a 56 69 61 3a p, deflate..Via:
00f0 20 31 2e 31 20 77 61 6e 64 65 72 70 6f 72 74 61 1.1 wanderporta
0100 66 72 69 63 61 32 2e 77 61 6e 64 65 72 70 6f 72 frica2.wanderpor
0110 74 2e 6e 65 74 20 28 73 71 75 69 64 2f 33 2e 33 t.net (squid/3.3
0120 2e 33 29 0d 0a 58 2d 46 6f 72 77 61 72 64 65 64 .3)..X-Forwarded
0130 2d 46 6f 72 3a 20 31 37 31 2e 34 31 2e 31 37 36 -For: 171.41.176
0140 2e 33 30 2c 20 32 31 33 2e 33 36 2e 31 35 30 2e .30, 213.36.150.
0150 31 34 30 2c 20 31 37 37 2e 31 37 31 2e 32 34 38 140, 177.171.248
0160 2e 32 35 34 2c 20 31 37 31 2e 31 32 34 2e 31 31 .254, 171.124.11
0170 32 2e 31 31 30 2c 20 34 37 2e 35 37 2e 31 35 34 2.110, 47.57.154
0180 2e 38 2c 20 31 36 30 2e 31 35 31 2e 31 33 36 2e .8, 160.151.136.
0190 31 30 36 2c 20 35 36 2e 38 32 2e 32 34 36 2e 31 106, 56[.]82[.]246[.]1
01a0 30 34 2c 20 31 38 36 2e 38 30 2e 32 31 2e 31 32 04, 186[.]80[.]21[.]12
01b0 32 2c 20 31 36 37 2e 31 31 34 2e 31 32 36 2e 36 2, 167[.]114[.]126[.]6
01c0 32 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 2..Cache-Control
01d0 3a 20 6d 61 78 2d 61 67 65 3d 32 35 39 32 30 30 : max-age=259200
01e0 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 ..Connection: ke
01f0 65 70 2d 61 6c 69 76 65 0d 0a 0d 0a ep-alive....
749 0.832745 202[.]106[.]16[.]36 xxx[.]99[.]157[.]61 HTTP 402 GET / HTTP/1.1
0000 02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24 .....0........E$
0010 01 84 b0 df 40 00 2e 06 62 41 ca 6a 10 24 c0 63 ....@...bA.j.$.c
0020 9d 3d c9 38 ae f0 cc 3f f1 9c 3e 2c 2a 03 80 18 .=.8...?..>,*...
0030 40 00 a7 9b 00 00 01 01 08 0a 36 34 07 d4 07 3d @.........64...=
0040 7b aa 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 {.GET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31 ..Host: xxx.99.1
0060 35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 43 6f 6e 57.61:44784..Con
0070 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c nection: keep-al
0080 69 76 65 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a ive..User-Agent:
0090 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 58 31 Mozilla/5.0 (X1
00a0 31 3b 20 55 62 75 6e 74 75 3b 20 4c 69 6e 75 78 1; Ubuntu; Linux
00b0 20 78 38 36 5f 36 34 3b 20 72 76 3a 32 34 2e 30 x86_64; rv:24.0
00c0 29 20 47 65 63 6b 6f 2f 32 30 31 30 30 31 30 31 ) Gecko/20100101
00d0 20 46 69 72 65 66 6f 78 2f 32 34 2e 30 0d 0a 41 Firefox/24.0..A
00e0 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 ccept-Encoding:
00f0 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a 58 gzip, deflate..X
0100 2d 46 6f 72 77 61 72 64 65 64 2d 46 6f 72 3a 20 -Forwarded-For:
0110 31 38 32 2e 31 32 35 2e 31 31 31 2e 32 35 30 2c 182[.]125[.]111[.]250,
0120 20 31 38 38 2e 31 32 33 2e 33 32 2e 39 30 2c 20 188[.]123[.]32[.]90,
0130 31 35 31 2e 37 38 2e 31 36 2e 38 33 2c 20 35 2e 151[.]78[.]16[.]83, 5.
0140 31 37 35 2e 31 34 33 2e 31 30 35 2c 20 31 36 37 175.143.105, 167
0150 2e 31 31 34 2e 31 32 36 2e 36 32 0d 0a 56 69 61 .114.126.62..Via
0160 3a 20 31 2e 31 20 4d 65 64 69 61 2d 62 74 70 7a : 1.1 Media-btpz
0170 2d 63 61 63 68 65 20 28 4e 65 74 43 61 63 68 65 -cache (NetCache
0180 20 4e 65 74 41 70 70 2f 36 2e 30 2e 37 29 0d 0a NetApp/6.0.7)..
0190 0d 0a ..