Korvet_068 Опубликовано 7 июля, 2015 (изменено) · Жалоба Доброго дня. У клиентов в последние месяцы сильно возрос трафик. Считаю трафик в NetUp, стал появляться огромный локальный трафик. Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика. Что DNS может отдавать модему в гигабайтных объёмах? ДНС по порту источника 53 стучится на модем по порту назначения 1024. На всех клиентских компах за модемами адрес DNS прописан напрямую. Модемы есть как с белыми сетками на LAN-интерфейсе, так и с NAT (там клиенты сидят за модемом под серыми адресами). Изменено 7 июля, 2015 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 7 июля, 2015 · Жалоба Сдампить трафик с сервера днс и посмотреть под мелкоскопом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 7 июля, 2015 · Жалоба Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.Что DNS может отдавать модему в гигабайтных объёмах? Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое.. Вторая версия - недобросовестный опсос подзарабатывает на трафике. Недоказуемо и непроверяемо. Легко может оказаться частной инициативой эффективного менеджера-гуманитария, желающего получить премию. типа заказал у хакеров за 5$ в сутки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOs Опубликовано 7 июля, 2015 · Жалоба Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое.. В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. По крайней мере у нас так было. Хотя и трафик DNS на нас был небольшим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 7 июля, 2015 · Жалоба Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 июля, 2015 · Жалоба Если с клиентов в ответку не прёт куча запросов и при этом клиенту запросы летят то: 1. У клиента недавно был открытый днс резолвер и его использовали для усиления атаки 2. Тоже что и п1, только динамические адреса, и теперь другой клиент получает этот траф 3. Клиентам пытаются отравить кеш, чтобы перенаправить на поддельный сайт. Нужно смотреть что там летит. Для 1 и 2 будут лететь запросы, для 3 ответы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 8 июля, 2015 · Жалоба Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов. Можете добавить еще 17/udp и 19/udp. Орлы включают себе "Simple TCP/IP Services" на винде, сидящей голой жопой в интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 8 июля, 2015 · Жалоба Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов. Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 8 июля, 2015 · Жалоба Докиньте еще и это #show ip access-lists brd.filter.ddos.amps Extended IP access list brd.filter.ddos.amps 100 deny udp any eq domain any (19756776 matches) 200 deny udp any eq 1900 any (2486419 matches) 300 deny udp any eq 19 any (159324 matches) 400 deny udp any eq snmp any (1287180 matches) 500 deny udp any eq ntp any (34453586 matches) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 8 июля, 2015 · Жалоба В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. я у себя пару раз узнавал о ddos/флуде на мои сервера спустя некоторое время от бухгалтерии: "Стас, а что это у нас счет за сервер на 16 долларов больше чем обычно?". А там, по логам, на один из пяти frontend сервер кто то гадил неделю. В следующий раз снял дамп. Снаружи открыты только 80/443. Но им пофиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DejaVu Опубликовано 9 июля, 2015 · Жалоба Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900). Я у себя еще 19/UDP/TCP прикрыл. Был клиент с windows сервером и открытым портом, что то прилетало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...