WAN интерфейсы модемов принимают поразитный DNS-трафик

[Korvet_068]

Доброго дня.

У клиентов в последние месяцы сильно возрос трафик. Считаю трафик в NetUp, стал появляться огромный локальный трафик. Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.

Что DNS может отдавать модему в гигабайтных объёмах?

 

ДНС по порту источника 53 стучится на модем по порту назначения 1024.

 

На всех клиентских компах за модемами адрес DNS прописан напрямую.

Модемы есть как с белыми сетками на LAN-интерфейсе, так и с NAT (там клиенты сидят за модемом под серыми адресами).

Edited July 7, 2015 by Korvet_068

[pppoetest]

Сдампить трафик с сервера днс и посмотреть под мелкоскопом.

[stas_k]

Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.

Что DNS может отдавать модему в гигабайтных объёмах?

Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое..

 

Вторая версия - недобросовестный опсос подзарабатывает на трафике. Недоказуемо и непроверяемо. Легко может оказаться частной инициативой эффективного менеджера-гуманитария, желающего получить премию. типа заказал у хакеров за 5$ в сутки.

[SOs]

Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое..

 

В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. По крайней мере у нас так было. Хотя и трафик DNS на нас был небольшим.

[SyJet]

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

[Ivan_83]

Если с клиентов в ответку не прёт куча запросов и при этом клиенту запросы летят то:

1. У клиента недавно был открытый днс резолвер и его использовали для усиления атаки

2. Тоже что и п1, только динамические адреса, и теперь другой клиент получает этот траф

3. Клиентам пытаются отравить кеш, чтобы перенаправить на поддельный сайт.

 

Нужно смотреть что там летит.

Для 1 и 2 будут лететь запросы, для 3 ответы.

[snvoronkov]

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Можете добавить еще 17/udp и 19/udp. Орлы включают себе "Simple TCP/IP Services" на винде, сидящей голой жопой в интернет.

[MATPOC]

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900).

[vurd]

Докиньте еще и это

 

#show ip access-lists brd.filter.ddos.amps
Extended IP access list brd.filter.ddos.amps
   100 deny udp any eq domain any (19756776 matches)
   200 deny udp any eq 1900 any (2486419 matches)
   300 deny udp any eq 19 any (159324 matches)
   400 deny udp any eq snmp any (1287180 matches)
   500 deny udp any eq ntp any (34453586 matches)

[stas_k]

В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают.

я у себя пару раз узнавал о ddos/флуде на мои сервера спустя некоторое время от бухгалтерии: "Стас, а что это у нас счет за сервер на 16 долларов больше чем обычно?".

А там, по логам, на один из пяти frontend сервер кто то гадил неделю.

В следующий раз снял дамп. Снаружи открыты только 80/443. Но им пофиг.

[DejaVu]

Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900).

 

Я у себя еще 19/UDP/TCP прикрыл. Был клиент с windows сервером и открытым портом, что то прилетало.