YuryD Posted July 23, 2015 Posted July 23, 2015 за последние пару дней отловил ddos от своих клиентов, и это были не обычные ddos-ntp или dns. Клиенты с видерогистраторами в dmz начали бомбить сервера амазона и прочих по https, причём это не компы - а новая дыра в прошивках видеорегистраторов - кстати разных производителей. Как с этим бороться ? Управлялку пока не поймал - атака кончилась... Вставить ник Quote
pavel.odintsov Posted July 23, 2015 Posted July 23, 2015 Можете попробовать Спамхаусовый DROP - https://www.spamhaus.org/drop/. Но в целом задача решается только дорогими коробками =( Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их. Часто ботнеты управляются по irc 6666/6667-му портам. Но тут не понятно как поломали и как запустили, все же сервер отличается от эмбеддед дивайса. Вставить ник Quote
YuryD Posted July 23, 2015 Author Posted July 23, 2015 Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их. Если отловлю :( Ловушка на живца поставлена, пока результат 0. Видимо эта хрень отслеживает успешность атаки, и исключает ip из бота. Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Вставить ник Quote
pavel.odintsov Posted July 23, 2015 Posted July 23, 2015 (edited) А порты в мир у них только нужные смотрят? Edited July 23, 2015 by pavel.odintsov Вставить ник Quote
ttttt Posted July 23, 2015 Posted July 23, 2015 Как с этим бороться ? Пошейпите или закройте файрволом все, куда эти регистраторы не должны лезть. А вообще забейте, нет смысла с таким бороться. Вставить ник Quote
pavel.odintsov Posted July 23, 2015 Posted July 23, 2015 Ну, в общем-то хорошая идея такие подарки в серые сети да за OpenVPN без ната на мир :) Вставить ник Quote
vlad11 Posted July 24, 2015 Posted July 24, 2015 Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP). Производителя видео-регистраторов вычислили? Вставить ник Quote
YuryD Posted July 24, 2015 Author Posted July 24, 2015 Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP). Производителя видео-регистраторов вычислили? Flow есть, моделька регистатора тоже известна. Но так как атака прекратилась после блока исходяшего флуда, вычислить порт дырки управлялки не удалось.. Регистратор http://tantos.pro/analog-videoregistratory/tsr-hv0811-standard.html Вставить ник Quote
vlad11 Posted July 24, 2015 Posted July 24, 2015 Может, в админке регистратора есть https ? и где-то при запросе происходить усиление ответа? Вставить ник Quote
pavel.odintsov Posted July 24, 2015 Posted July 24, 2015 Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема. Вставить ник Quote
YuryD Posted July 24, 2015 Author Posted July 24, 2015 Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема. Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ? Вставить ник Quote
st_re Posted July 24, 2015 Posted July 24, 2015 В регистратор трояна не засунуть, ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы? я так понимаю это был синфлуд ? (т.е все пакеты сины ?) Вставить ник Quote
YuryD Posted July 24, 2015 Author Posted July 24, 2015 я так понимаю это был синфлуд ? (т.е все пакеты сины ?) Где я в флоу записанном это увижу ? Не успел с тспдампом да и места бы на диске не хватило.. Моя задача - задробить паразита, хотя бы по исходу от него, т.е. отловить аномальный траффик ОТ клиента... К клиенту - да полно решений... Я хочу робота, дробящего аномальную активности изнутри... Вставить ник Quote
st_re Posted July 24, 2015 Posted July 24, 2015 снорт не поможет ? (ну или его производные) трафика сколько ? или вот тут что то похожее по описанию.. Конкретную хрень (типа спам, по факту количества соединений на 25 порт) делал по нетфлоу самописным скриптом. Вставить ник Quote
YuryD Posted July 24, 2015 Author Posted July 24, 2015 В регистратор трояна не засунуть, ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы? Ну вот такие мы, позволяем клиентам покупать дешевое гуано, выдаём реальники, а гуановидеоустановщики высовывают регистратор через dmz наружу... Мне что теперь - от клиентов отказываться ? Побороть гуанопродавцов гуанорегистратовов я не могу, побороть программеров гуанорегистратора - не могу. Поэтому надо как-то бороться, искать и блочить хотя-бы дыры управлялок... NTP я заблочил.. И что ? Не было ни одной ябеды, что регистратор кажет время от ГМТ... Вставить ник Quote
st_re Posted July 24, 2015 Posted July 24, 2015 Как вариант, управлялка может быть с компа хозяина. реальные примеры атак на рутеры недоступные снаружи через веб бруазер хозяина были. не вижу больших проблем просканить всю /24 за его рутором и найти там камеру.. Но скорее всего там эта камера чем то торчит в инет, там с вероятностью lim->100% есть дыра. Узнайте каким портом оно доступно снаружи для управления или просмотра и посмотрите кто туда ходил.. бывает вообще 22 или 23 порт а там стандартный admin/admin.. Все эти камеры массово регятся в сервисах типа dyndns но от производителя. Вытащить оттуда список в общем не бином ньютона, как показывает практика. Вешаются они обычно или как DMZ т-е все порты до нее долетают, даже те которые для работы не очень нужны или открывается необходимый набор портов 1:1. Дыр в рутерах позволяющих не зная пароля сделать что угодно масса. тут прошивки клепают теже люди. Вставить ник Quote
xcme Posted July 24, 2015 Posted July 24, 2015 Где я в флоу записанном это увижу ? Вроде "flags S" в фильтре. Вставить ник Quote
Ivan_83 Posted July 24, 2015 Posted July 24, 2015 Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ? Как как. Да просто всё. Залезают телнетом/ссш/хттп, заливают или новую прошивку или нужные проги в память и работают себе спокойно, в последнем случае до ребута железки. Вам дико повезло что у клиентов мало дорогих роутеров, типа Asus AC-68U. Этот роутер на родной прошивке - просто проходной двор. Там меняют ДНС сервера на ван, прописывают днс сервер в настройки дхцп, включают впн сервер и создают юзера. Было бы таких девайсов больше их бы использовали не только так примитивно, но и сливали бы туда свой софт, ибо железо там сполне позволяет: двух ядерный проц на 1ггц, 256 оперативы, гигабитные порты, вафля на 2,4 и 5ггц, юзби3.... На более простых хернях дыр не меньше, но там только днс меняют, ибо больше взять нечего - трудно уместится в 32 мб озу своим говнокодом, а оптимизировать под кучу разных архитектур/платформ геморно, но и такие ботнеты уже были, авторам которых было не лень. Вставить ник Quote
YuryD Posted July 25, 2015 Author Posted July 25, 2015 Ну давайте бест практикс для клиентов создадим.. Блочим всё udp старших портов (выпадает контрстайк и випнет), по tcp- что оставить ? Вставить ник Quote
MATPOC Posted July 26, 2015 Posted July 26, 2015 Удп 80 и 443 заблокируйте. Google QUIC их использует, так что не рекомендуется его закрывать. Вставить ник Quote
zhenya` Posted July 26, 2015 Posted July 26, 2015 (edited) Ну тогда sport 123/53 dport 80/443. Edited July 26, 2015 by zhenya` Вставить ник Quote
pavel.odintsov Posted July 26, 2015 Posted July 26, 2015 Устанавлвиая sport 53 в блок замочите все рекурсивные резолверы, что работают в Вашей сети. Вставить ник Quote
zhenya` Posted July 26, 2015 Posted July 26, 2015 (edited) вообще.. чот меня сбили (как если я повешаю в сторону абонентов такое, я могу сломать QUIC, он же ток на гугловых серверах?) .. deny udp any eq 123 any eq 80. deny udp any eq 123 any eq 443 deny udp any eq 53 any eq 80 deny udp any eq 53 any eq 443. речь конечно о таком и только в сторону абонентов. Edited July 27, 2015 by zhenya` Вставить ник Quote
pavel.odintsov Posted July 27, 2015 Posted July 27, 2015 QUIC к сожалению __пока_лишь_на_гугловых_серверах_, вполне может это скоро изменится. Я бы порекомендовал запустить тот же tcpdump и посмотреть трафик по таким паттернам пару суток. Мы вот были уверены, что у нас такого трафика нету. Анннн, нет, нашелся ... Я бы рекомендовал не делать дроп, а делать rate-limit, это сильно безопаснее в случае если "акела промахнулся". Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.