Перейти к содержимому
Калькуляторы

WAN интерфейсы модемов принимают поразитный DNS-трафик

Доброго дня.

У клиентов в последние месяцы сильно возрос трафик. Считаю трафик в NetUp, стал появляться огромный локальный трафик. Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.

Что DNS может отдавать модему в гигабайтных объёмах?

 

ДНС по порту источника 53 стучится на модем по порту назначения 1024.

 

На всех клиентских компах за модемами адрес DNS прописан напрямую.

Модемы есть как с белыми сетками на LAN-интерфейсе, так и с NAT (там клиенты сидят за модемом под серыми адресами).

Изменено пользователем Korvet_068

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сдампить трафик с сервера днс и посмотреть под мелкоскопом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Источник - DNS-сервер (с белым адресом), получатель - WAN-интерфейсы модемов (интерфейсы все с белыми адресами). За месяц на каждый модем набегают гигабайты такого странного трафика.

Что DNS может отдавать модему в гигабайтных объёмах?

Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое..

 

Вторая версия - недобросовестный опсос подзарабатывает на трафике. Недоказуемо и непроверяемо. Легко может оказаться частной инициативой эффективного менеджера-гуманитария, желающего получить премию. типа заказал у хакеров за 5$ в сутки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например это такой ddos (против dns). Кто то заваливает его запросами с твоими src ip. Стоит попробовать связаться с владельцем, и проанализировать и с его стороны. сравнить дампы, всё такое..

 

В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают. По крайней мере у нас так было. Хотя и трафик DNS на нас был небольшим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если с клиентов в ответку не прёт куча запросов и при этом клиенту запросы летят то:

1. У клиента недавно был открытый днс резолвер и его использовали для усиления атаки

2. Тоже что и п1, только динамические адреса, и теперь другой клиент получает этот траф

3. Клиентам пытаются отравить кеш, чтобы перенаправить на поддельный сайт.

 

Нужно смотреть что там летит.

Для 1 и 2 будут лететь запросы, для 3 ответы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Можете добавить еще 17/udp и 19/udp. Орлы включают себе "Simple TCP/IP Services" на винде, сидящей голой жопой в интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже пару лет закрыт 53/udp и не так давно 123/udp в сторону клиентов.

Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Докиньте еще и это

 

#show ip access-lists brd.filter.ddos.amps
Extended IP access list brd.filter.ddos.amps
   100 deny udp any eq domain any (19756776 matches)
   200 deny udp any eq 1900 any (2486419 matches)
   300 deny udp any eq 19 any (159324 matches)
   400 deny udp any eq snmp any (1287180 matches)
   500 deny udp any eq ntp any (34453586 matches)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В таком случае, влыделец DNS выходит на оператора (его же IP) и дальше они сами это перетирают.

я у себя пару раз узнавал о ddos/флуде на мои сервера спустя некоторое время от бухгалтерии: "Стас, а что это у нас счет за сервер на 16 долларов больше чем обычно?".

А там, по логам, на один из пяти frontend сервер кто то гадил неделю.

В следующий раз снял дамп. Снаружи открыты только 80/443. Но им пофиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Буквально вчера написали про RIP (UDP 520), а годом ранее была рекомендация блокировать UPnP (UDP 1900).

 

Я у себя еще 19/UDP/TCP прикрыл. Был клиент с windows сервером и открытым портом, что то прилетало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.