Korvet_068 Posted July 7, 2015 (edited) · Report post Доброго дня. У клиентов в последние месяцы сильно возрос трафик. Считаю трафик в NetUp, стал появляться огромный локальный трафик. Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика. Что DNS может отдавать модему в гигабайтных объёмах? ДНС по порту источника 53 стучится на модем по порту назначения 1024. На всех клиентских компах за модемами адрес DNS прописан напрямую. Модемы есть как с белыми сетками на LAN-интерфейсе, так и с NAT (там клиенты сидят за модемом под серыми адресами). Edited July 7, 2015 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted July 7, 2015 · Report post Сдампить трафик с сервера днс и посмотреть под мелкоскопом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted July 7, 2015 · Report post Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.Что DNS может отдавать модему в гигабайтных объёмах? Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое.. Вторая версия - недобросовестный опсос подзарабатывает на трафике. Недоказуемо и непроверяемо. Легко может оказаться частной инициативой эффективного менеджера-гуманитария, желающего получить премию. типа заказал у хакеров за 5$ в сутки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SOs Posted July 7, 2015 · Report post Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое.. В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. По крайней мере у нас так было. Хотя и трафик DNS на нас был небольшим. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted July 7, 2015 · Report post Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted July 7, 2015 · Report post Если с клиентов в ответку не прёт куча запросов и при этом клиенту запросы летят то: 1. У клиента недавно был открытый днс резолвер и его использовали для усиления атаки 2. Тоже что и п1, только динамические адреса, и теперь другой клиент получает этот траф 3. Клиентам пытаются отравить кеш, чтобы перенаправить на поддельный сайт. Нужно смотреть что там летит. Для 1 и 2 будут лететь запросы, для 3 ответы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 8, 2015 · Report post Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов. Можете добавить еще 17/udp и 19/udp. Орлы включают себе "Simple TCP/IP Services" на винде, сидящей голой жопой в интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATPOC Posted July 8, 2015 · Report post Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов. Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted July 8, 2015 · Report post Докиньте еще и это #show ip access-lists brd.filter.ddos.amps Extended IP access list brd.filter.ddos.amps 100 deny udp any eq domain any (19756776 matches) 200 deny udp any eq 1900 any (2486419 matches) 300 deny udp any eq 19 any (159324 matches) 400 deny udp any eq snmp any (1287180 matches) 500 deny udp any eq ntp any (34453586 matches) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted July 8, 2015 · Report post В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. я у себя пару раз узнавал о ddos/флуде на мои сервера спустя некоторое время от бухгалтерии: "Стас, а что это у нас счет за сервер на 16 долларов больше чем обычно?". А там, по логам, на один из пяти frontend сервер кто то гадил неделю. В следующий раз снял дамп. Снаружи открыты только 80/443. Но им пофиг. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DejaVu Posted July 9, 2015 · Report post Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900). Я у себя еще 19/UDP/TCP прикрыл. Был клиент с windows сервером и открытым портом, что то прилетало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...