Jump to content
Калькуляторы

Клиенты ботнетов у себя, как ловить автоматично ? Клиенты ботнетов у себя, как ловить автоматично ?

за последние пару дней отловил ddos от своих клиентов, и это были не обычные ddos-ntp или dns. Клиенты с видерогистраторами в dmz начали бомбить сервера амазона и прочих по https, причём это не компы - а новая дыра в прошивках видеорегистраторов - кстати разных производителей. Как с этим бороться ? Управлялку пока не поймал - атака кончилась...

Share this post


Link to post
Share on other sites

Можете попробовать Спамхаусовый DROP - https://www.spamhaus.org/drop/. Но в целом задача решается только дорогими коробками =(

 

Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их.

 

Часто ботнеты управляются по irc 6666/6667-му портам. Но тут не понятно как поломали и как запустили, все же сервер отличается от эмбеддед дивайса.

Share this post


Link to post
Share on other sites

 

Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их.

 

 

Если отловлю :( Ловушка на живца поставлена, пока результат 0. Видимо эта хрень отслеживает успешность атаки, и исключает ip из бота. Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы...

Share this post


Link to post
Share on other sites

А порты в мир у них только нужные смотрят?

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

Как с этим бороться ?

Пошейпите или закройте файрволом все, куда эти регистраторы не должны лезть.

 

А вообще забейте, нет смысла с таким бороться.

Share this post


Link to post
Share on other sites

Ну, в общем-то хорошая идея такие подарки в серые сети да за OpenVPN без ната на мир :)

Share this post


Link to post
Share on other sites

Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы...

 

Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP).

Производителя видео-регистраторов вычислили?

Share this post


Link to post
Share on other sites

Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы...

 

Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP).

Производителя видео-регистраторов вычислили?

 

Flow есть, моделька регистатора тоже известна. Но так как атака прекратилась после блока исходяшего флуда, вычислить порт дырки управлялки не удалось..

 

Регистратор http://tantos.pro/analog-videoregistratory/tsr-hv0811-standard.html

Share this post


Link to post
Share on other sites

Может, в админке регистратора есть https ? и где-то при запросе происходить усиление ответа?

Share this post


Link to post
Share on other sites

Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема.

Share this post


Link to post
Share on other sites

Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема.

Однозначно tcp 443. Но как ?

deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ?

Share this post


Link to post
Share on other sites

В регистратор трояна не засунуть,

 

ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы?

 

я так понимаю это был синфлуд ? (т.е все пакеты сины ?)

Share this post


Link to post
Share on other sites

я так понимаю это был синфлуд ? (т.е все пакеты сины ?)

Где я в флоу записанном это увижу ? Не успел с тспдампом да и места бы на диске не хватило.. Моя задача - задробить паразита, хотя бы по исходу от него, т.е. отловить аномальный траффик ОТ клиента... К клиенту - да полно решений... Я хочу робота, дробящего аномальную активности изнутри...

Share this post


Link to post
Share on other sites

снорт не поможет ? (ну или его производные) трафика сколько ?

 

или вот тут что то похожее по описанию..

 

Конкретную хрень (типа спам, по факту количества соединений на 25 порт) делал по нетфлоу самописным скриптом.

Share this post


Link to post
Share on other sites

В регистратор трояна не засунуть,

 

ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы?

 

 

Ну вот такие мы, позволяем клиентам покупать дешевое гуано, выдаём реальники, а гуановидеоустановщики высовывают регистратор через dmz наружу... Мне что теперь - от клиентов отказываться ? Побороть гуанопродавцов гуанорегистратовов я не могу, побороть программеров гуанорегистратора - не могу. Поэтому надо как-то бороться, искать и блочить хотя-бы дыры управлялок... NTP я заблочил.. И что ? Не было ни одной ябеды, что регистратор кажет время от ГМТ...

Share this post


Link to post
Share on other sites

Как вариант, управлялка может быть с компа хозяина. реальные примеры атак на рутеры недоступные снаружи через веб бруазер хозяина были. не вижу больших проблем просканить всю /24 за его рутором и найти там камеру..

 

Но скорее всего там эта камера чем то торчит в инет, там с вероятностью lim->100% есть дыра. Узнайте каким портом оно доступно снаружи для управления или просмотра и посмотрите кто туда ходил.. бывает вообще 22 или 23 порт а там стандартный admin/admin.. Все эти камеры массово регятся в сервисах типа dyndns но от производителя. Вытащить оттуда список в общем не бином ньютона, как показывает практика. Вешаются они обычно или как DMZ т-е все порты до нее долетают, даже те которые для работы не очень нужны или открывается необходимый набор портов 1:1. Дыр в рутерах позволяющих не зная пароля сделать что угодно масса. тут прошивки клепают теже люди.

Share this post


Link to post
Share on other sites

Где я в флоу записанном это увижу ?

Вроде "flags S" в фильтре.

Share this post


Link to post
Share on other sites
Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ?

Как как.

Да просто всё.

Залезают телнетом/ссш/хттп, заливают или новую прошивку или нужные проги в память и работают себе спокойно, в последнем случае до ребута железки.

 

Вам дико повезло что у клиентов мало дорогих роутеров, типа Asus AC-68U.

Этот роутер на родной прошивке - просто проходной двор.

Там меняют ДНС сервера на ван, прописывают днс сервер в настройки дхцп, включают впн сервер и создают юзера.

Было бы таких девайсов больше их бы использовали не только так примитивно, но и сливали бы туда свой софт, ибо железо там сполне позволяет: двух ядерный проц на 1ггц, 256 оперативы, гигабитные порты, вафля на 2,4 и 5ггц, юзби3....

На более простых хернях дыр не меньше, но там только днс меняют, ибо больше взять нечего - трудно уместится в 32 мб озу своим говнокодом, а оптимизировать под кучу разных архитектур/платформ геморно, но и такие ботнеты уже были, авторам которых было не лень.

Share this post


Link to post
Share on other sites

Ну давайте бест практикс для клиентов создадим.. Блочим всё udp старших портов (выпадает контрстайк и випнет), по tcp- что оставить ?

Share this post


Link to post
Share on other sites

Удп 80 и 443 заблокируйте.

Google QUIC их использует, так что не рекомендуется его закрывать.

Share this post


Link to post
Share on other sites

Устанавлвиая sport 53 в блок замочите все рекурсивные резолверы, что работают в Вашей сети.

Share this post


Link to post
Share on other sites

вообще.. чот меня сбили (как если я повешаю в сторону абонентов такое, я могу сломать QUIC, он же ток на гугловых серверах?) ..

 

deny udp any eq 123 any eq 80.

deny udp any eq 123 any eq 443

deny udp any eq 53 any eq 80

deny udp any eq 53 any eq 443.

 

речь конечно о таком и только в сторону абонентов.

Edited by zhenya`

Share this post


Link to post
Share on other sites

QUIC к сожалению __пока_лишь_на_гугловых_серверах_, вполне может это скоро изменится. Я бы порекомендовал запустить тот же tcpdump и посмотреть трафик по таким паттернам пару суток. Мы вот были уверены, что у нас такого трафика нету. Анннн, нет, нашелся ...

 

Я бы рекомендовал не делать дроп, а делать rate-limit, это сильно безопаснее в случае если "акела промахнулся".

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this