YuryD Опубликовано 23 июля, 2015 · Жалоба за последние пару дней отловил ddos от своих клиентов, и это были не обычные ddos-ntp или dns. Клиенты с видерогистраторами в dmz начали бомбить сервера амазона и прочих по https, причём это не компы - а новая дыра в прошивках видеорегистраторов - кстати разных производителей. Как с этим бороться ? Управлялку пока не поймал - атака кончилась... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 23 июля, 2015 · Жалоба Можете попробовать Спамхаусовый DROP - https://www.spamhaus.org/drop/. Но в целом задача решается только дорогими коробками =( Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их. Часто ботнеты управляются по irc 6666/6667-му портам. Но тут не понятно как поломали и как запустили, все же сервер отличается от эмбеддед дивайса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 июля, 2015 · Жалоба Если отловите шаблон атаки, то могу добавить отпечатки в https://github.com/FastVPSEestiOu/fastnetmon и он будет трекить их. Если отловлю :( Ловушка на живца поставлена, пока результат 0. Видимо эта хрень отслеживает успешность атаки, и исключает ip из бота. Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 23 июля, 2015 (изменено) · Жалоба А порты в мир у них только нужные смотрят? Изменено 23 июля, 2015 пользователем pavel.odintsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 23 июля, 2015 · Жалоба Как с этим бороться ? Пошейпите или закройте файрволом все, куда эти регистраторы не должны лезть. А вообще забейте, нет смысла с таким бороться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 23 июля, 2015 · Жалоба Ну, в общем-то хорошая идея такие подарки в серые сети да за OpenVPN без ната на мир :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 24 июля, 2015 · Жалоба Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP). Производителя видео-регистраторов вычислили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 июля, 2015 · Жалоба Шаблон атаки - немотивированный https на несколько адресов в инете, многопотоковый, много попыток соединений, и это не комп, а видеорегистраторы... Пишите нетфлоу. Потом стройте графики по кол-ву запросов на 443 порт (на все IP, по сетям /24 и одиночные src IP). Производителя видео-регистраторов вычислили? Flow есть, моделька регистатора тоже известна. Но так как атака прекратилась после блока исходяшего флуда, вычислить порт дырки управлялки не удалось.. Регистратор http://tantos.pro/analog-videoregistratory/tsr-hv0811-standard.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 24 июля, 2015 · Жалоба Может, в админке регистратора есть https ? и где-то при запросе происходить усиление ответа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 24 июля, 2015 · Жалоба Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 июля, 2015 · Жалоба Нене, усиление по tcp протоколу невозможно. Точно ли трафик был tcp? Легко могли быть SNMP/DNS/SSDP/NTP усилением на 443й порт, вот это - частая тема. Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 24 июля, 2015 · Жалоба В регистратор трояна не засунуть, ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы? я так понимаю это был синфлуд ? (т.е все пакеты сины ?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 июля, 2015 · Жалоба я так понимаю это был синфлуд ? (т.е все пакеты сины ?) Где я в флоу записанном это увижу ? Не успел с тспдампом да и места бы на диске не хватило.. Моя задача - задробить паразита, хотя бы по исходу от него, т.е. отловить аномальный траффик ОТ клиента... К клиенту - да полно решений... Я хочу робота, дробящего аномальную активности изнутри... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 24 июля, 2015 · Жалоба снорт не поможет ? (ну или его производные) трафика сколько ? или вот тут что то похожее по описанию.. Конкретную хрень (типа спам, по факту количества соединений на 25 порт) делал по нетфлоу самописным скриптом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 июля, 2015 · Жалоба В регистратор трояна не засунуть, ну тоесть кастомные прошивки для всяких говнорутетров льют и не краснеют, а тут нельзя ? С чего бы? Ну вот такие мы, позволяем клиентам покупать дешевое гуано, выдаём реальники, а гуановидеоустановщики высовывают регистратор через dmz наружу... Мне что теперь - от клиентов отказываться ? Побороть гуанопродавцов гуанорегистратовов я не могу, побороть программеров гуанорегистратора - не могу. Поэтому надо как-то бороться, искать и блочить хотя-бы дыры управлялок... NTP я заблочил.. И что ? Не было ни одной ябеды, что регистратор кажет время от ГМТ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 24 июля, 2015 · Жалоба Как вариант, управлялка может быть с компа хозяина. реальные примеры атак на рутеры недоступные снаружи через веб бруазер хозяина были. не вижу больших проблем просканить всю /24 за его рутором и найти там камеру.. Но скорее всего там эта камера чем то торчит в инет, там с вероятностью lim->100% есть дыра. Узнайте каким портом оно доступно снаружи для управления или просмотра и посмотрите кто туда ходил.. бывает вообще 22 или 23 порт а там стандартный admin/admin.. Все эти камеры массово регятся в сервисах типа dyndns но от производителя. Вытащить оттуда список в общем не бином ньютона, как показывает практика. Вешаются они обычно или как DMZ т-е все порты до нее долетают, даже те которые для работы не очень нужны или открывается необходимый набор портов 1:1. Дыр в рутерах позволяющих не зная пароля сделать что угодно масса. тут прошивки клепают теже люди. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 24 июля, 2015 · Жалоба Где я в флоу записанном это увижу ? Вроде "flags S" в фильтре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 июля, 2015 · Жалоба Однозначно tcp 443. Но как ? deny tcp from клиент_xxx.xxx.xxx.xxx to any dst-port 443 - были дикорастущие счетчики, trafshow от коннектов рисовал по 20 экранов... Выедалась вся полоса клиента. В регистратор трояна не засунуть, соотв внутренний баг прошивки. Но меня в общем-то проблемы клиента не трогают, но как ? Как можно заставить железку генерить траффик по иным, не вшитым в неё протоколам ? Как как. Да просто всё. Залезают телнетом/ссш/хттп, заливают или новую прошивку или нужные проги в память и работают себе спокойно, в последнем случае до ребута железки. Вам дико повезло что у клиентов мало дорогих роутеров, типа Asus AC-68U. Этот роутер на родной прошивке - просто проходной двор. Там меняют ДНС сервера на ван, прописывают днс сервер в настройки дхцп, включают впн сервер и создают юзера. Было бы таких девайсов больше их бы использовали не только так примитивно, но и сливали бы туда свой софт, ибо железо там сполне позволяет: двух ядерный проц на 1ггц, 256 оперативы, гигабитные порты, вафля на 2,4 и 5ггц, юзби3.... На более простых хернях дыр не меньше, но там только днс меняют, ибо больше взять нечего - трудно уместится в 32 мб озу своим говнокодом, а оптимизировать под кучу разных архитектур/платформ геморно, но и такие ботнеты уже были, авторам которых было не лень. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 июля, 2015 · Жалоба Ну давайте бест практикс для клиентов создадим.. Блочим всё udp старших портов (выпадает контрстайк и випнет), по tcp- что оставить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 июля, 2015 · Жалоба Удп 80 и 443 заблокируйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 26 июля, 2015 · Жалоба Удп 80 и 443 заблокируйте. Google QUIC их использует, так что не рекомендуется его закрывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 июля, 2015 (изменено) · Жалоба Ну тогда sport 123/53 dport 80/443. Изменено 26 июля, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 26 июля, 2015 · Жалоба Устанавлвиая sport 53 в блок замочите все рекурсивные резолверы, что работают в Вашей сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 июля, 2015 (изменено) · Жалоба вообще.. чот меня сбили (как если я повешаю в сторону абонентов такое, я могу сломать QUIC, он же ток на гугловых серверах?) .. deny udp any eq 123 any eq 80. deny udp any eq 123 any eq 443 deny udp any eq 53 any eq 80 deny udp any eq 53 any eq 443. речь конечно о таком и только в сторону абонентов. Изменено 27 июля, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 27 июля, 2015 · Жалоба QUIC к сожалению __пока_лишь_на_гугловых_серверах_, вполне может это скоро изменится. Я бы порекомендовал запустить тот же tcpdump и посмотреть трафик по таким паттернам пару суток. Мы вот были уверены, что у нас такого трафика нету. Анннн, нет, нашелся ... Я бы рекомендовал не делать дроп, а делать rate-limit, это сильно безопаснее в случае если "акела промахнулся". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...