Korvet_068 Posted September 2, 2015 (edited) · Report post ASR1001#show ip cache flow | i 61.145.2.71 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 e376 0035 15 EVSI269 61.145.2.71 gi0/0/1 72.30.196.161 06 311f 01bb 8 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 acc4 0035 15 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 d419 0035 15 EVSI269 61.145.2.71 gi0/0/1 178.255.154.12 06 64b9 0050 1 EVSI269 61.145.2.71 te0/1/0.90 61.145.14.10 11 0401 0035 38 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 d699 0035 15 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 38c8 0035 15 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 90f8 0035 15 EVSI269 61.145.2.71 gi0/0/1 195.27.162.15 06 6370 2694 2 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 2986 0035 15 gi0/0/0 178.255.154.12 EVSI269* 61.145.2.71 06 0050 64ae 1 EVSI269 61.145.2.71 gi0/0/0 188.125.93.39 06 2b19 01bb 4 EVSI269 61.145.2.71 te0/1/0.90 61.145.14.20 11 0401 0035 86 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 b9f6 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 40f1 0035 15 te0/1/0.90 61.145.14.10 EVSI269* 61.145.2.71 11 0035 0401 91 te0/1/0.90 61.145.14.10 EVSI269* 61.145.2.71 11 0000 0000 304 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 e9a9 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 7b63 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 6a44 0035 15 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 64d0 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 bd09 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 f3cf 0035 15 te0/1/0.90 61.145.14.20 EVSI269* 61.145.2.71 11 0035 0401 58 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 b095 0035 15 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 6593 0035 15 EVSI269 61.145.2.71 gi0/0/1 178.255.154.12 06 64ae 0050 2 gi0/0/1 73.183.191.140 EVSI269* 61.145.2.71 11 4114 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 b736 0035 15 gi0/0/1 217.146.1.3 EVSI269* 61.145.2.71 06 1732 6377 1 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 82c1 0035 15 gi0/0/1 189.73.155.20 EVSI269* 61.145.2.71 11 31c9 0035 15 ASR1001# Доброго дня. Вот лог трафика модема. 61.145.2.71 - это WAN адрес модема. Все модемы сидят в одном влане, авторизуются через РРР и получают динамический внешний адрес. 61.145.14.10 и 61.145.14.20 это ДНС-серверы, модемы за месяц накачивают с них гигабайты трафика, я не знаю что можно с ДНС тащить в таком количестве. Правая колонка это счётчик пакетов, видно что с ДНС пакетов десятки и сотни. Кто-нибудь сталкивался с таким? Как можно проверить что качается? Читал про атаку DNS amplification, но коллективным разумом было решено что наши ДНС этому не подвержены. Edited September 2, 2015 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ciberkot Posted September 2, 2015 · Report post я думаю DNS-tunneling. нужно смотреть статистику по среднему размеру пакетов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 2, 2015 · Report post Таких модемов у меня десятки - все заняты туннелингом??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AheroN Posted September 2, 2015 · Report post Были умники которые использовали протокол DNS, для несанкционированного выхода в интернет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 2, 2015 · Report post днс амплификейшн. Закройте к ним 53 порт снаружи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AheroN Posted September 2, 2015 · Report post Закройте к ним 53 порт снаружи. +1. Сам смотрел сначала в эту сторону, Потом правила написал и зыбыл Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 3, 2015 · Report post Мои ДНС смотрят в интернет, не дадут мне закрыть порт 53 наружу, скорее всего. Ещё смущает вот что - проблема только у клиентов на модемах, те кто на эзернете - работают без проблем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 3, 2015 · Report post Как можно проверить что качается? поднять тестовое соединение с модема?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 3, 2015 · Report post Ещё смущает вот что - проблема только у клиентов на модемах, те кто на эзернете - работают без проблем. Спросите у их внешнего адреса какую-нибудь левую зону... У некоторых модемов рекурсивный DNS какого-то фига на внешнем интерфейсе для всего белого света открыт. Вот ими для DNS amplification и пользуются. И тут их адреса поищите: http://openresolverproject.org/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted September 3, 2015 · Report post А вы попробуйте https://radar.qrator.net Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 3, 2015 (edited) · Report post поднять тестовое соединение с модема?) Можете чуть подробнее расписать? Я намека не улавливаю... Первый раз такую траблу ловлю. http://openresolverproject.org/ Сайт с виду перспективный, спасибо! Модем Zyxel 660, весь день ковырял веб-морду, там есть какой-то пункт про ДНС, он у меня отключен... Надо в правилах фаервола на модеме запретить порт 53? Edited September 3, 2015 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 3, 2015 · Report post Если сидишь под виндой то: http://netlab.dhis.org/wiki/ru:software:win:net:dns_lookup вбиваешь в поле DNS server adress внешний IP твоих подозрительных роутеров и жмякаешь кнопку. Если ответ есть - значит там резолвер доступен извне. Сидя в дома вбивать внешний адрес своего мопеда - может быть ложно положительный результат. Для не винды есть аналогичные консольные утилиты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 4, 2015 · Report post Модем Zyxel 660, весь день ковырял веб-морду, там есть какой-то пункт про ДНС, он у меня отключен... Надо в правилах фаервола на модеме запретить порт 53? Оно, родимое. Уж какая версия (ru, ru2, ru3...) и в каких условиях ( ipoa, pppoa...) - не помню. Вроде, там, где по телнету меню с цифирьками. Там в настройках не убирается оно. Только фаерволом резать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 4, 2015 (edited) · Report post Так, на модемах даже через веб-морду настроилось правило фаервола чтобы рубить коннекты на WAN-адрес модема по порту 53. Теперь они сайтами не определяются как уязвимые к атаке ДНС. Слежу за трафиком пока. Edited September 4, 2015 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted September 4, 2015 · Report post Korvet_068, доброго времени суток. Скорее всего, Ваши модемы, находящиеся на прямых («белых») IP адресах, принимают DNS запрос от любых хостов! Успешно перенаправляя запрос, на указанные в конфигурации модема DNS сервер. Самым простым способом проверки, может быть утилита «nslookup» (под OS Windows). Из «внешнего Мира», проверив наличие связности до IP адреса модема (утилита «ping»), запускаете: C:\ >nslookup Используя команду «server», указываете IP адреса модема. > server 8.8.8.8 (вместо 8.8.8.8 указываете IP адреса модема) Обратитесь к имени ya.ru. Если получаете ответ: > ya.ru Server: IP адрес модема Address: IP адрес модема Non-authoritative answer: Name: ya.ru Addresses: 213.180.204.3, 213.180.193.3, 93.158.134.3 То, при таком ответе, Ваш модем успешно ретранслировал обращение к DNS, что собственно является причиной проблемы. Для верности можно повторить тест из разных точек «Мира», указывая различные IP адреса модемов. Возможное решение: Как уже советовали выше, на «головных» маршрутизаторах запретить «общение» модемов по DNS портам (53 TCP/UDP) с «внешним Миром». В качестве единственно доступных, указать исключительно свои серверы, указав в конфигурации модемов эти серверы. Для тех кто «имеет DNS сервер дома» за модемом, сделать исключение из правила, при его обращении. Мне кажется бесполезным «насиловать» модемы. Опции ПО на них, сильно урезаны. И если на модем есть доступ пользователя, он без Вашего ведома настроит модем, как ему кажется правильным. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 5, 2015 (edited) · Report post На модемы доступа у клиентов теоретически нет, там всё под паролями. У меня в сети схема rоuter on a stick: создан субинтерфейс, на него повешена сетка и модемы после РРРоЕ авторизации получают автоматически внешние адреса из этой сетки. Как думаете - аксесс лист, дропающий ДНС запросы из внешнего мира, для этого субинтерфейса будет input? На нескольких модемах я закрыл запросы по ДНС вручную через веб-морду, послежу несколько дней за биллингом и расскажу. Через nslookup модемы не перенаправляют запросы, но через сайты-тестировщики DNS и через команду dig с линуксовой машины они видны как уязвимые. После настройки модемного фаервола уязвимость не отображается. Но повесить аксесс-лист это проще чем всех клиентов обходить... Edited September 5, 2015 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 5, 2015 · Report post И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 5, 2015 · Report post Чего чего? Как у тебя люди инетом пользуются? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 5, 2015 · Report post Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted September 5, 2015 · Report post > ya.ru Server: IP адрес модема Address: IP адрес модема Non-authoritative answer: Name: ya.ru Addresses: 213.180.204.3, 213.180.193.3, 93.158.134.3 То, при таком ответе, Ваш модем успешно ретранслировал обращение к DNS, что собственно является причиной проблемы. +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 5, 2015 · Report post И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы? Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами. Ну и порно! Если это дсл модемы с пппое то ип адрес, днс и прочие настройки они получают по ппп. Прописывать абонентам адреса в сетевых адаптерах руками - прошлый век! совершенно бесполезная работа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted September 5, 2015 · Report post Korvet_068, доброго времени суток. Модем в Вашем случае выполняет функции маршрутизатора (роутера), в этом режиме подавляющее большинство современных модемов (скорее всего все), будут выполнять роль ретранслятора DNS запросов. При корректной прошивке модем, должен ретранслировать DNS запросы только локальной сити (LAN) абонента, но как видите это не всегда так. Даже если адрес DNS сервера «в ручную» прописан на «сетевом подключении» абонента, модем не перестаёт играть роль ретранслятора DNS запросов. Возможно, но маловероятно, что на модеме прописаны адреса DNS серверов производителя, а может быть и Ваш PPPoE сервер отдаёт какие-то адреса DNS серверов модему, но Вы это не проверили. Много раз на этом форуме и не только на этом, советовалось запретить хождение DNS трафика от абонентов в «Мир», используя только совой DNS сервер(а). Абоненту, которому действительно нужен DNS порт, попросит Вас открыть его на прямом IP, большинство даже не спросит об этом. Касательно access-list’а на интерфейсе, да Вы правы, можно сделать input. В простейшем примере: ! interface Virtual-XXX ip access-group access-inbound in . . . ! ip access-list extended access-inbound permit udp host «IP Вашего DNS сервера» any eq 53 permit tcp host «IP Вашего DNS сервера» any eq 53 deny tcp any any eq 53 deny udp any any eq 53 permit ip any any Боюсь ошибиться в синтаксисе, «кошки» под рукой нет, что бы проверить. Хотя о чём я, может у Вас и не «кошка» вовсе. В общем, идеология такая. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted September 5, 2015 · Report post И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы? Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами. Ну и порно! Если это дсл модемы с пппое то ип адрес, днс и прочие настройки они получают по ппп. Прописывать абонентам адреса в сетевых адаптерах руками - прошлый век! совершенно бесполезная работа. +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 6, 2015 · Report post Авторизация у меня делается в Cisco ACS, искал там перечень отдаваемых модему параметров и кроме айпишника ничего не обнаружил. Практика писать айпишники клиентам руками пошла ещё до меня, не знаю зачем так делать. Можно было хоть часть сетки оставить в ДХЦП. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 12, 2015 (edited) · Report post В простейшем примере: ! interface Virtual-XXX ip access-group ACCESS-INBOUND out . . . ! ip access-list extended ACCESS-INBOUND permit udp host «IP Вашего DNS сервера» any eq 53 permit tcp host «IP Вашего DNS сервера» any eq 53 deny tcp any any eq 53 deny udp any any eq 53 permit ip any any Боюсь ошибиться в синтаксисе, «кошки» под рукой нет, что бы проверить. Хотя о чём я, может у Вас и не «кошка» вовсе. В общем, идеология такая. В общем написал я аксесс-лист для циски как в примере и повесил на нужный virtual-template интерфейс. Только вешать надо был как output. Стало сразу хорошо - днсный мусор рубится миллионами пакетов, в биллинг идёт только хороший трафик. Всем спасибо за ценные указания. Только советую всем сразу приучить себя писать ИМЕНА аксесс-листов, роутмапов и прочего БОЛЬШИМИ буквами, так легче читать конфиг. Edited September 12, 2015 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
