YuryD Posted July 23, 2015 · Report post за последние пару дней отловил ddos от своих клиентов, и это были не обычные ddos-ntp или dns. Клиенты с видерогистраторами в dmz начали бомбить сервера амазона и прочих по https, причём это не компы - а новая дыра в прошивках видеорегистраторов - кстати разных производителей. Как с этим бороться ? Управлялку пока не поймал - атака кончилась... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 23, 2015 · Report post Можете попробовать Спамхаусовый DROP - https://www.spamhaus.org/drop/. Но в целом задача решается только дорогими коробками =( Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их. Часто ботнеты управляются по irc 6666/6667-му портам. Но тут не понятно как поломали и как запустили, все же сервер отличается от эмбеддед дивайса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 23, 2015 · Report post Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их. Если отловлю :( Ловушка на живца поставлена, пока результат 0. Видимо эта хрень отслеживает успешность атаки, и исключает ip из бота. Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 23, 2015 (edited) · Report post А порты в мир у них только нужные смотрят? Edited July 23, 2015 by pavel.odintsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted July 23, 2015 · Report post Как с этим бороться ? Пошейпите или закройте файрволом все, куда эти регистраторы не должны лезть. А вообще забейте, нет смысла с таким бороться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 23, 2015 · Report post Ну, в общем-то хорошая идея такие подарки в серые сети да за OpenVPN без ната на мир :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted July 24, 2015 · Report post Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP). Производителя видео-регистраторов вычислили? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 24, 2015 · Report post Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP). Производителя видео-регистраторов вычислили? Flow есть, моделька регистатора тоже известна. Но так как атака прекратилась после блока исходяшего флуда, вычислить порт дырки управлялки не удалось.. Регистратор http://tantos.pro/analog-videoregistratory/tsr-hv0811-standard.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted July 24, 2015 · Report post Может, в админке регистратора есть https ? и где-то при запросе происходить усиление ответа? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 24, 2015 · Report post Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 24, 2015 · Report post Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема. Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted July 24, 2015 · Report post В регистратор трояна не засунуть, ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы? я так понимаю это был синфлуд ? (т.е все пакеты сины ?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 24, 2015 · Report post я так понимаю это был синфлуд ? (т.е все пакеты сины ?) Где я в флоу записанном это увижу ? Не успел с тспдампом да и места бы на диске не хватило.. Моя задача - задробить паразита, хотя бы по исходу от него, т.е. отловить аномальный траффик ОТ клиента... К клиенту - да полно решений... Я хочу робота, дробящего аномальную активности изнутри... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted July 24, 2015 · Report post снорт не поможет ? (ну или его производные) трафика сколько ? или вот тут что то похожее по описанию.. Конкретную хрень (типа спам, по факту количества соединений на 25 порт) делал по нетфлоу самописным скриптом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 24, 2015 · Report post В регистратор трояна не засунуть, ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы? Ну вот такие мы, позволяем клиентам покупать дешевое гуано, выдаём реальники, а гуановидеоустановщики высовывают регистратор через dmz наружу... Мне что теперь - от клиентов отказываться ? Побороть гуанопродавцов гуанорегистратовов я не могу, побороть программеров гуанорегистратора - не могу. Поэтому надо как-то бороться, искать и блочить хотя-бы дыры управлялок... NTP я заблочил.. И что ? Не было ни одной ябеды, что регистратор кажет время от ГМТ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted July 24, 2015 · Report post Как вариант, управлялка может быть с компа хозяина. реальные примеры атак на рутеры недоступные снаружи через веб бруазер хозяина были. не вижу больших проблем просканить всю /24 за его рутором и найти там камеру.. Но скорее всего там эта камера чем то торчит в инет, там с вероятностью lim->100% есть дыра. Узнайте каким портом оно доступно снаружи для управления или просмотра и посмотрите кто туда ходил.. бывает вообще 22 или 23 порт а там стандартный admin/admin.. Все эти камеры массово регятся в сервисах типа dyndns но от производителя. Вытащить оттуда список в общем не бином ньютона, как показывает практика. Вешаются они обычно или как DMZ т-е все порты до нее долетают, даже те которые для работы не очень нужны или открывается необходимый набор портов 1:1. Дыр в рутерах позволяющих не зная пароля сделать что угодно масса. тут прошивки клепают теже люди. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted July 24, 2015 · Report post Где я в флоу записанном это увижу ? Вроде "flags S" в фильтре. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted July 24, 2015 · Report post Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ? Как как. Да просто всё. Залезают телнетом/ссш/хттп, заливают или новую прошивку или нужные проги в память и работают себе спокойно, в последнем случае до ребута железки. Вам дико повезло что у клиентов мало дорогих роутеров, типа Asus AC-68U. Этот роутер на родной прошивке - просто проходной двор. Там меняют ДНС сервера на ван, прописывают днс сервер в настройки дхцп, включают впн сервер и создают юзера. Было бы таких девайсов больше их бы использовали не только так примитивно, но и сливали бы туда свой софт, ибо железо там сполне позволяет: двух ядерный проц на 1ггц, 256 оперативы, гигабитные порты, вафля на 2,4 и 5ггц, юзби3.... На более простых хернях дыр не меньше, но там только днс меняют, ибо больше взять нечего - трудно уместится в 32 мб озу своим говнокодом, а оптимизировать под кучу разных архитектур/платформ геморно, но и такие ботнеты уже были, авторам которых было не лень. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 25, 2015 · Report post Ну давайте бест практикс для клиентов создадим.. Блочим всё udp старших портов (выпадает контрстайк и випнет), по tcp- что оставить ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 26, 2015 · Report post Удп 80 и 443 заблокируйте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATPOC Posted July 26, 2015 · Report post Удп 80 и 443 заблокируйте. Google QUIC их использует, так что не рекомендуется его закрывать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 26, 2015 (edited) · Report post Ну тогда sport 123/53 dport 80/443. Edited July 26, 2015 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 26, 2015 · Report post Устанавлвиая sport 53 в блок замочите все рекурсивные резолверы, что работают в Вашей сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 26, 2015 (edited) · Report post вообще.. чот меня сбили (как если я повешаю в сторону абонентов такое, я могу сломать QUIC, он же ток на гугловых серверах?) .. deny udp any eq 123 any eq 80. deny udp any eq 123 any eq 443 deny udp any eq 53 any eq 80 deny udp any eq 53 any eq 443. речь конечно о таком и только в сторону абонентов. Edited July 27, 2015 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 27, 2015 · Report post QUIC к сожалению __пока_лишь_на_гугловых_серверах_, вполне может это скоро изменится. Я бы порекомендовал запустить тот же tcpdump и посмотреть трафик по таким паттернам пару суток. Мы вот были уверены, что у нас такого трафика нету. Анннн, нет, нашелся ... Я бы рекомендовал не делать дроп, а делать rate-limit, это сильно безопаснее в случае если "акела промахнулся". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...