Перейти к содержимому
Калькуляторы

Клиенты ботнетов у себя, как ловить автоматично ? Клиенты ботнетов у себя, как ловить автоматично ?

за последние пару дней отловил ddos от своих клиентов, и это были не обычные ddos-ntp или dns. Клиенты с видерогистраторами в dmz начали бомбить сервера амазона и прочих по https, причём это не компы - а новая дыра в прошивках видеорегистраторов - кстати разных производителей. Как с этим бороться ? Управлялку пока не поймал - атака кончилась...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете попробовать Спамхаусовый DROP - https://www.spamhaus.org/drop/. Но в целом задача решается только дорогими коробками =(

 

Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их.

 

Часто ботнеты управляются по irc 6666/6667-му портам. Но тут не понятно как поломали и как запустили, все же сервер отличается от эмбеддед дивайса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их.

 

 

Если отловлю :( Ловушка на живца поставлена, пока результат 0. Видимо эта хрень отслеживает успешность атаки, и исключает ip из бота. Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А порты в мир у них только нужные смотрят?

Изменено пользователем pavel.odintsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как с этим бороться ?

Пошейпите или закройте файрволом все, куда эти регистраторы не должны лезть.

 

А вообще забейте, нет смысла с таким бороться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, в общем-то хорошая идея такие подарки в серые сети да за OpenVPN без ната на мир :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы...

 

Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP).

Производителя видео-регистраторов вычислили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы...

 

Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP).

Производителя видео-регистраторов вычислили?

 

Flow есть, моделька регистатора тоже известна. Но так как атака прекратилась после блока исходяшего флуда, вычислить порт дырки управлялки не удалось..

 

Регистратор http://tantos.pro/analog-videoregistratory/tsr-hv0811-standard.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может, в админке регистратора есть https ? и где-то при запросе происходить усиление ответа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема.

Однозначно tcp 443. Но как ?

deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В регистратор трояна не засунуть,

 

ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы?

 

я так понимаю это был синфлуд ? (т.е все пакеты сины ?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я так понимаю это был синфлуд ? (т.е все пакеты сины ?)

Где я в флоу записанном это увижу ? Не успел с тспдампом да и места бы на диске не хватило.. Моя задача - задробить паразита, хотя бы по исходу от него, т.е. отловить аномальный траффик ОТ клиента... К клиенту - да полно решений... Я хочу робота, дробящего аномальную активности изнутри...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

снорт не поможет ? (ну или его производные) трафика сколько ?

 

или вот тут что то похожее по описанию..

 

Конкретную хрень (типа спам, по факту количества соединений на 25 порт) делал по нетфлоу самописным скриптом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В регистратор трояна не засунуть,

 

ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы?

 

 

Ну вот такие мы, позволяем клиентам покупать дешевое гуано, выдаём реальники, а гуановидеоустановщики высовывают регистратор через dmz наружу... Мне что теперь - от клиентов отказываться ? Побороть гуанопродавцов гуанорегистратовов я не могу, побороть программеров гуанорегистратора - не могу. Поэтому надо как-то бороться, искать и блочить хотя-бы дыры управлялок... NTP я заблочил.. И что ? Не было ни одной ябеды, что регистратор кажет время от ГМТ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вариант, управлялка может быть с компа хозяина. реальные примеры атак на рутеры недоступные снаружи через веб бруазер хозяина были. не вижу больших проблем просканить всю /24 за его рутором и найти там камеру..

 

Но скорее всего там эта камера чем то торчит в инет, там с вероятностью lim->100% есть дыра. Узнайте каким портом оно доступно снаружи для управления или просмотра и посмотрите кто туда ходил.. бывает вообще 22 или 23 порт а там стандартный admin/admin.. Все эти камеры массово регятся в сервисах типа dyndns но от производителя. Вытащить оттуда список в общем не бином ньютона, как показывает практика. Вешаются они обычно или как DMZ т-е все порты до нее долетают, даже те которые для работы не очень нужны или открывается необходимый набор портов 1:1. Дыр в рутерах позволяющих не зная пароля сделать что угодно масса. тут прошивки клепают теже люди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Где я в флоу записанном это увижу ?

Вроде "flags S" в фильтре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ?

Как как.

Да просто всё.

Залезают телнетом/ссш/хттп, заливают или новую прошивку или нужные проги в память и работают себе спокойно, в последнем случае до ребута железки.

 

Вам дико повезло что у клиентов мало дорогих роутеров, типа Asus AC-68U.

Этот роутер на родной прошивке - просто проходной двор.

Там меняют ДНС сервера на ван, прописывают днс сервер в настройки дхцп, включают впн сервер и создают юзера.

Было бы таких девайсов больше их бы использовали не только так примитивно, но и сливали бы туда свой софт, ибо железо там сполне позволяет: двух ядерный проц на 1ггц, 256 оперативы, гигабитные порты, вафля на 2,4 и 5ггц, юзби3....

На более простых хернях дыр не меньше, но там только днс меняют, ибо больше взять нечего - трудно уместится в 32 мб озу своим говнокодом, а оптимизировать под кучу разных архитектур/платформ геморно, но и такие ботнеты уже были, авторам которых было не лень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну давайте бест практикс для клиентов создадим.. Блочим всё udp старших портов (выпадает контрстайк и випнет), по tcp- что оставить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удп 80 и 443 заблокируйте.

Google QUIC их использует, так что не рекомендуется его закрывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну тогда sport 123/53 dport 80/443.

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Устанавлвиая sport 53 в блок замочите все рекурсивные резолверы, что работают в Вашей сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообще.. чот меня сбили (как если я повешаю в сторону абонентов такое, я могу сломать QUIC, он же ток на гугловых серверах?) ..

 

deny udp any eq 123 any eq 80.

deny udp any eq 123 any eq 443

deny udp any eq 53 any eq 80

deny udp any eq 53 any eq 443.

 

речь конечно о таком и только в сторону абонентов.

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

QUIC к сожалению __пока_лишь_на_гугловых_серверах_, вполне может это скоро изменится. Я бы порекомендовал запустить тот же tcpdump и посмотреть трафик по таким паттернам пару суток. Мы вот были уверены, что у нас такого трафика нету. Анннн, нет, нашелся ...

 

Я бы рекомендовал не делать дроп, а делать rate-limit, это сильно безопаснее в случае если "акела промахнулся".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.