Jump to content
Калькуляторы

WAN интерфейсы модемов принимают поразитный DNS-трафик

Доброго дня.

У клиентов в последние месяцы сильно возрос трафик. Считаю трафик в NetUp, стал появляться огромный локальный трафик. Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.

Что DNS может отдавать модему в гигабайтных объёмах?

 

ДНС по порту источника 53 стучится на модем по порту назначения 1024.

 

На всех клиентских компах за модемами адрес DNS прописан напрямую.

Модемы есть как с белыми сетками на LAN-интерфейсе, так и с NAT (там клиенты сидят за модемом под серыми адресами).

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Сдампить трафик с сервера днс и посмотреть под мелкоскопом.

Share this post


Link to post
Share on other sites
Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.

Что DNS может отдавать модему в гигабайтных объёмах?

Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое..

 

Вторая версия - недобросовестный опсос подзарабатывает на трафике. Недоказуемо и непроверяемо. Легко может оказаться частной инициативой эффективного менеджера-гуманитария, желающего получить премию. типа заказал у хакеров за 5$ в сутки.

Share this post


Link to post
Share on other sites

Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое..

 

В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. По крайней мере у нас так было. Хотя и трафик DNS на нас был небольшим.

Share this post


Link to post
Share on other sites

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Share this post


Link to post
Share on other sites

Если с клиентов в ответку не прёт куча запросов и при этом клиенту запросы летят то:

1. У клиента недавно был открытый днс резолвер и его использовали для усиления атаки

2. Тоже что и п1, только динамические адреса, и теперь другой клиент получает этот траф

3. Клиентам пытаются отравить кеш, чтобы перенаправить на поддельный сайт.

 

Нужно смотреть что там летит.

Для 1 и 2 будут лететь запросы, для 3 ответы.

Share this post


Link to post
Share on other sites

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Можете добавить еще 17/udp и 19/udp. Орлы включают себе "Simple TCP/IP Services" на винде, сидящей голой жопой в интернет.

Share this post


Link to post
Share on other sites

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900).

Share this post


Link to post
Share on other sites

Докиньте еще и это

 

#show ip access-lists brd.filter.ddos.amps
Extended IP access list brd.filter.ddos.amps
   100 deny udp any eq domain any (19756776 matches)
   200 deny udp any eq 1900 any (2486419 matches)
   300 deny udp any eq 19 any (159324 matches)
   400 deny udp any eq snmp any (1287180 matches)
   500 deny udp any eq ntp any (34453586 matches)

Share this post


Link to post
Share on other sites
В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают.

я у себя пару раз узнавал о ddos/флуде на мои сервера спустя некоторое время от бухгалтерии: "Стас, а что это у нас счет за сервер на 16 долларов больше чем обычно?".

А там, по логам, на один из пяти frontend сервер кто то гадил неделю.

В следующий раз снял дамп. Снаружи открыты только 80/443. Но им пофиг.

Share this post


Link to post
Share on other sites

Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900).

 

Я у себя еще 19/UDP/TCP прикрыл. Был клиент с windows сервером и открытым портом, что то прилетало.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this