Вы Гость ( Вход | Регистрация ) политика конфиденциальности

Обнаружение клиентских атак на шлюзе провайдера
  • (5 Страниц)
  • +
  • 1
  • 2
  • 3
  • »
опции темы

Пользователь офлайн Ilya Evseev
05 февраля 2010 - 11:57
Сообщение #1

Звание: Доцент
Группа: VIP
Сообщений: 1 970
Регистрация: 15 июля 06
Город: SPb~
Какие признаки позволяют провайдеру понять, что клиент участвует в атаке?
Предлагаю обмениваться в данной теме списком возможных критериев.

В частности:
1) количество syn-обращений на 25 порт больше X за Y секунд - это сделано в http://sources.homelink.ru/spamblock/
2) исходящий трафик больше входящего в X раз (например, X >= 30?)
3) количество разных узлов, к которым были syn-обращения на 22 или 443 порт, больше X за Y секунд (например, для Y=2: X>2, Y=5: X>3, ...)
4) количество исходящих ICMP-пакетов больше X за Y секунд (например, для Y=1: X>3)
5) суммарный размер исходящих ICMP-пакетов больше X за Y секунд (например, для Y=1: X>500)

UPD:
6) количество DNS-запросов (проверка не столько для шлюза, сколько на внутреннем DNS-сервере). Интерактивный инструмент - dnstop.
7) количество DNS-ответов NXDOMAIN

What's more? :-\

Сообщение отредактировал Ilya Evseev: 05 февраля 2010 - 15:34

 
Пользователь офлайн stirn
05 февраля 2010 - 12:33
Сообщение #2

Звание: Абитуриент
Группа: Пользователи
Сообщений: 1
Регистрация: 01 февраля 10
Присоединяюсь к вопросу! Очень актуальная тема для меня сейчас. По каким критериям смотреть более-менее представляю, а пороговые значения не знаю. Ещё интересует вопрос обнаружения http-атак.
 
Пользователь офлайн alks
05 февраля 2010 - 14:44
Сообщение #3

Звание: Профессор
Группа: VIP
Сообщений: 3 661
Регистрация: 19 июля 06
DPI - определяют все что нужно
 
Пользователь офлайн hub00
05 февраля 2010 - 15:01
Сообщение #4

Звание: Абитуриент
Группа: Участник
Сообщений: 54
Регистрация: 15 января 10
Я занимался тоже этим вопросом, и тоже с удовольствием приму участие в обсуждении.
Вот моя маленькая заметка Выявление угроз посредством DNS протокола. Мои наработки.
 
Пользователь офлайн hub00
05 февраля 2010 - 15:14
Сообщение #5

Звание: Абитуриент
Группа: Участник
Сообщений: 54
Регистрация: 15 января 10
Можно к примеру слушать трафик tcpdump`om и потом в результате найти все повторения и их количество и относительно этого выносить приговор. А вообще нужно IDS использовать. Если кто-то этим занимался, делитесь информацией, мыслями. Только дельной информацией!

Сообщение отредактировал hub00: 05 февраля 2010 - 15:18

 
Пользователь офлайн hub00
05 февраля 2010 - 15:22
Сообщение #6

Звание: Абитуриент
Группа: Участник
Сообщений: 54
Регистрация: 15 января 10
К примеру, этой командой можно найти локального ддосера (указываем конечно свою подсеть и свой ифейс).

tcpdump -i eth1 -n |grep "IP 172." |cut -d' ' -f3 | cut -d. -f1,2,3,4,5 |head -5000 | awk '{ print $1 }' | sort | uniq -c | sort -n

Можно модернизировать эту команду для определения нужных повторений и тем самым выявлять разных правонарушителей.
Ну или по крайней мере покажет на кого стоит обратить внимание.

Сообщение отредактировал hub00: 05 февраля 2010 - 15:35

 
Пользователь офлайн hub00
05 февраля 2010 - 15:30
Сообщение #7

Звание: Абитуриент
Группа: Участник
Сообщений: 54
Регистрация: 15 января 10
Можно так написать комплексный скрипт который будет выводить нужную инфу о трафике.
 
Пользователь офлайн Oleg Gawriloff
05 февраля 2010 - 16:04
Сообщение #8

Звание: Абитуриент
Группа: Участник
Сообщений: 55
Регистрация: 09 декабря 02
Город: Minsk

Просмотр сообщенияhub00 (05 февраля 2010 - 15:01) писал:

Я занимался тоже этим вопросом, и тоже с удовольствием приму участие в обсуждении.
Вот моя маленькая заметка Выявление угроз посредством DNS протокола. Мои наработки.
Спасибо, статья интересная. Провели анализ, видим вот такое:
Queries: 611 new, 528300 total Fri Feb 5 13:02:48 2010

Source Query Name Count %
--------------- -------------------- --------- ------
91.149.187.221 0.10.in-addr.arpa 19710 3.7
93.125.8.63 168.192.in-addr.arpa 8909 1.7
93.125.3.156 168.192.in-addr.arpa 6148 1.2
87.252.254.154 10.10.in-addr.arpa 4547 0.9
93.125.84.67 168.192.in-addr.arpa 4440 0.8
217.21.60.46 168.192.in-addr.arpa 4353 0.8
93.125.6.50 168.192.in-addr.arpa 4295 0.8
213.184.249.190 168.192.in-addr.arpa 3780 0.7
217.21.60.35 168.192.in-addr.arpa 3774 0.7
213.184.249.19 168.192.in-addr.arpa 3758 0.7
91.149.134.136 168.192.in-addr.arpa 3705 0.7
217.21.54.201 168.192.in-addr.arpa 3416 0.6
212.98.187.229 168.192.in-addr.arpa 3359 0.6
91.149.187.83 168.192.in-addr.arpa 3345 0.6
91.149.191.199 168.192.in-addr.arpa 3278 0.6
91.149.187.134 168.192.in-addr.arpa 2970 0.6
217.21.54.201 186.194.in-addr.arpa 2831 0.5
93.125.10.105 168.192.in-addr.arpa 2808 0.5
91.149.186.243 168.192.in-addr.arpa 2696 0.5
93.125.100.121 168.192.in-addr.arpa 2620 0.5
93.125.84.120 155.10.in-addr.arpa 2260 0.4
213.184.251.176 168.192.in-addr.arpa 2157 0.4
213.184.249.190 186.194.in-addr.arpa 2132 0.4
93.125.3.112 168.192.in-addr.arpa 2128 0.4
213.184.224.233 168.192.in-addr.arpa 1891 0.4
213.184.255.103 168.192.in-addr.arpa 1798 0.3


Т.е. клиенты запрашивают свои реверсные зоны и получают denied от бинда. Есть ли идеи как сделать (кроме звонков клиентам ибо дело долгое и муторное, да и много их) что бы не запрашивали?
 
Пользователь офлайн hub00
05 февраля 2010 - 16:14
Сообщение #9

Звание: Абитуриент
Группа: Участник
Сообщений: 54
Регистрация: 15 января 10
Если я понял правильно и у тебя бинд, то allow-query { any; }; any - конечно шикарно, но ... лучше свое поставь. Хотя я может что-то не то понял.

Сообщение отредактировал hub00: 05 февраля 2010 - 16:18

 
Пользователь офлайн Oleg Gawriloff
05 февраля 2010 - 16:54
Сообщение #10

Звание: Абитуриент
Группа: Участник
Сообщений: 55
Регистрация: 09 декабря 02
Город: Minsk

Просмотр сообщенияhub00 (05 февраля 2010 - 16:14) писал:

Если я понял правильно и у тебя бинд, то allow-query { any; }; any - конечно шикарно, но ... лучше свое поставь. Хотя я может что-то не то понял.

Не так. Это действительно наши клиенты, им работать с ДНС сервером можно. Но они запрашивают всякую свою локальную муть. Т.е. хочется как-то сделать что бы не запрашивали, что бы нагрузку на днс снизить .
Ибо за полчаса такого сбора имеем:
Source Query Name Count %
--------------- -------------------- --------- ------
91.149.187.221 0.10.in-addr.arpa 40204 2.2
93.125.8.63 168.192.in-addr.arpa 36549 2.0
93.125.3.156 168.192.in-addr.arpa 20046 1.1
93.125.10.105 168.192.in-addr.arpa 16705 0.9
93.125.84.67 168.192.in-addr.arpa 16536 0.9
213.184.249.190 168.192.in-addr.arpa 14131 0.8
87.252.254.154 10.10.in-addr.arpa 13895 0.7
213.184.255.103 168.192.in-addr.arpa 13885 0.7
213.184.249.19 168.192.in-addr.arpa 13704 0.7
212.98.187.229 168.192.in-addr.arpa 12862 0.7
217.21.60.35 168.192.in-addr.arpa 12667 0.7
91.149.187.134 168.192.in-addr.arpa 12071 0.7
91.149.134.136 168.192.in-addr.arpa 12001 0.6
91.149.186.243 168.192.in-addr.arpa 11938 0.6
213.184.225.212 ms.akamai.net 11743 0.6
91.149.191.199 168.192.in-addr.arpa 11067 0.6
93.125.6.50 168.192.in-addr.arpa 10668 0.6
217.21.60.46 168.192.in-addr.arpa 10246 0.6

Пока единственное что придумалось - запуск dnstop раз в сутки на час - генерацию списка Top 50 и автоматизированныя рассылка им на емылы - поправьте настройки/проверьтесь на вирусы.

Сообщение отредактировал Oleg Gawriloff: 05 февраля 2010 - 17:03

 
Пользователь офлайн hub00
06 февраля 2010 - 15:46
Сообщение #11

Звание: Абитуриент
Группа: Участник
Сообщений: 54
Регистрация: 15 января 10
Вот как раз по теме видео, жаль что не собственно производства, спасибо автору. Выложил
 
Пользователь офлайн vIv
08 февраля 2010 - 20:53
Сообщение #12

Звание: иностранный агент
Группа: VIP
Сообщений: 14 991
Регистрация: 01 сентября 04
Город: Бавлы
А настроить обратную зону - не судьба? Всё-равно же придётся, - вон для тех же торрентов с BEP-22
 
Пользователь офлайн Oleg Gawriloff
09 февраля 2010 - 00:23
Сообщение #13

Звание: Абитуриент
Группа: Участник
Сообщений: 55
Регистрация: 09 декабря 02
Город: Minsk

Просмотр сообщенияvIv (08 февраля 2010 - 20:53) писал:

А настроить обратную зону - не судьба? Всё-равно же придётся, - вон для тех же торрентов с BEP-22

Почему ж не судьба то. Есть обратная зона. С RFC1918 адресами. Но проблема как я понимаю не в ее наличии а в количестве запросов то от клиентов. Счет то на тысячи измеряется.
Причем часть зон клиент не должен видеть (к примеру технологическую), в результате в логах имеем вот что (за одну секунду от одного клиента):
Feb 8 21:21:56 eagle-cl1 named[27366]: client 213.184.245.158#1848: view external: RFC 1918 response from Internet for 110.9.16.172.in-addr.arpa
Feb 8 21:21:56 eagle-cl1 named[27366]: client 213.184.245.158#1848: view external: RFC 1918 response from Internet for 110.9.16.172.in-addr.arpa
Feb 8 21:21:56 eagle-cl1 named[27366]: client 213.184.245.158#1848: view external: RFC 1918 response from Internet for 110.9.16.172.in-addr.arpa
Feb 8 21:21:56 eagle-cl1 named[27366]: client 213.184.245.158#1848: view external: RFC 1918 response from Internet for 110.9.16.172.in-addr.arpa
Feb 8 21:21:56 eagle-cl1 named[27366]: client 213.184.245.158#1848: view external: RFC 1918 response from Internet for 110.9.16.172.in-addr.arpa

Или имеется в виду отдавать им всем в 1918 фейковые адреса левые, абы не запрашивали?
 
Пользователь офлайн terrible
09 февраля 2010 - 14:26
Сообщение #14

Звание: Доцент
Группа: VIP
Сообщений: 1 454
Регистрация: 13 января 09
Город: Default
Левые конечно давайте, пусть спрашивают :)
 
Пользователь офлайн st_re
09 февраля 2010 - 14:37
Сообщение #15

Звание: Профессор
Группа: VIP
Сообщений: 3 293
Регистрация: 23 июня 06
Я правильно понимаю, что это Ваши же (или бывшие, или скачущие туда-сюда) абоненты, в данный момент соеденяющиеся от другого провайдера ? И сервер, смотрящий в мир указан ресолвером для Ваших клиентов ? Тогда запросов будет море.

Наверное было бы праильнее разнести IP для ресолвера и для доступных с наружи NSов. Ресолвер для запросов снаружи закрыть вообще.

 
Пользователь офлайн Oleg Gawriloff
09 февраля 2010 - 15:03
Сообщение #16

Звание: Абитуриент
Группа: Участник
Сообщений: 55
Регистрация: 09 декабря 02
Город: Minsk
Ок, идеи понятны, попробуем, результаты сообщу.
 
Пользователь офлайн Oleg Gawriloff
10 февраля 2010 - 15:40
Сообщение #17

Звание: Абитуриент
Группа: Участник
Сообщений: 55
Регистрация: 09 декабря 02
Город: Minsk

Просмотр сообщенияterrible (09 февраля 2010 - 14:26) писал:

Левые конечно давайте, пусть спрашивают :)
Как выяснилось было настроено в соотв. с https://www.isc.org/node/315. Сделал что бы отдавало левые адреса (с надеждой что клиенты ответы закешируют). Однако по графику ничего не изменилось:( Посмотрим еще сутки.
Проанализировав тцпдампом трафик - явно завирусованные клиенты. Значит только обратным отзвоном.

Идея насчет разнесения резолвера конечно правильная, но это вызовет либо смену ип адреса днсов у клиентов (которые этого не переживут), либо смену ип-адресов nsов для нашего хостинга днс, что терпимо в принципе, но не охота лезть. Работает то в принципе нормально.


 
Пользователь офлайн TiFFolk
10 февраля 2010 - 23:02
Сообщение #18

Звание: Студент
Группа: Активный участник
Сообщений: 300
Регистрация: 14 января 09
Город: Москва
А ведь можно отдавать левый адрес своего вебсервера, и выдавать всем завирусованым клиентам ошибку ВИРУС и много инструкций+теелфон поддержки. Тогда не надо будет отзванивать, сами позвонят.
 
Пользователь офлайн st_re
11 февраля 2010 - 01:10
Сообщение #19

Звание: Профессор
Группа: VIP
Сообщений: 3 293
Регистрация: 23 июня 06
Кстати, что он получали в ответ на PTR 1.1.16.172.in-addr.arpa ? Часом ли не 500 байтный набор рутовых серверов + все их A записи ? Как вариант может оказаться развитием атаки с многократным увеличением трафика: Запросы идут из другого места, SRC идут для провайдера, на которого флудят, и Вы уже туда отвечаете. запрос на полста байт, ответы на 500. А то многие взялись фильтровать запрос NS .

Хотя не похоже конечно, больше таки похоже на то, что ресолвер стоит Ваш, а клиент уже не Ваш.

А запросы то от них, кроме PTR есть ? тогда что они получают на A www.microsoft.com ? Если не A запись, , то как они пользуются интернетом ? А если www.microsoft.com уже есть в кеше то что ? если запретить allow recursion но не allow query то из кеша ответы они получат, при большом кеше даже интернет будет интернетить более - менее сносно.

И вообще правильнее было бы вообще не отвечать. Даже ошибкой. На любой запрос снаружи, кроме запроса явно прописанных зон, для которых мы NS.
 
Пользователь офлайн Oleg Gawriloff
11 февраля 2010 - 01:42
Сообщение #20

Звание: Абитуриент
Группа: Участник
Сообщений: 55
Регистрация: 09 декабря 02
Город: Minsk

Просмотр сообщенияTiFFolk (10 февраля 2010 - 23:02) писал:

А ведь можно отдавать левый адрес своего вебсервера, и выдавать всем завирусованым клиентам ошибку ВИРУС и много инструкций+теелфон поддержки. Тогда не надо будет отзванивать, сами позвонят.

Так резолвят то не имена, а ип адреса.
 
  • (5 Страниц)
  • +
  • 1
  • 2
  • 3
  • »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей