Jump to content
Калькуляторы

Причины большого трафика DNS Модемы накачивают с ДНС гигабайты!

ASR1001#show ip cache flow | i 61.145.2.71
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 e376 0035    15 
EVSI269       61.145.2.71     gi0/0/1       72.30.196.161   06 311f 01bb     8 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 acc4 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 d419 0035    15 
EVSI269       61.145.2.71     gi0/0/1       178.255.154.12  06 64b9 0050     1 
EVSI269       61.145.2.71     te0/1/0.90    61.145.14.10    11 0401 0035    38 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 d699 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 38c8 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 90f8 0035    15 
EVSI269       61.145.2.71     gi0/0/1       195.27.162.15   06 6370 2694     2 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 2986 0035    15 
gi0/0/0       178.255.154.12  EVSI269*      61.145.2.71     06 0050 64ae     1 
EVSI269       61.145.2.71     gi0/0/0       188.125.93.39   06 2b19 01bb     4 
EVSI269       61.145.2.71     te0/1/0.90    61.145.14.20    11 0401 0035    86 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 b9f6 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 40f1 0035    15 
te0/1/0.90    61.145.14.10    EVSI269*      61.145.2.71     11 0035 0401    91 
te0/1/0.90    61.145.14.10    EVSI269*      61.145.2.71     11 0000 0000   304 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 e9a9 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 7b63 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 6a44 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 64d0 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 bd09 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 f3cf 0035    15 
te0/1/0.90    61.145.14.20    EVSI269*      61.145.2.71     11 0035 0401    58 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 b095 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 6593 0035    15 
EVSI269       61.145.2.71     gi0/0/1       178.255.154.12  06 64ae 0050     2 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 4114 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 b736 0035    15 
gi0/0/1       217.146.1.3     EVSI269*      61.145.2.71     06 1732 6377     1 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 82c1 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 31c9 0035    15 
ASR1001#

 

Доброго дня. Вот лог трафика модема. 61.145.2.71 - это WAN адрес модема. Все модемы сидят в одном влане, авторизуются через РРР и получают динамический внешний адрес. 61.145.14.10 и 61.145.14.20 это ДНС-серверы, модемы за месяц накачивают с них гигабайты трафика, я не знаю что можно с ДНС тащить в таком количестве. Правая колонка это счётчик пакетов, видно что с ДНС пакетов десятки и сотни.

Кто-нибудь сталкивался с таким? Как можно проверить что качается? Читал про атаку DNS amplification, но коллективным разумом было решено что наши ДНС этому не подвержены.

Edited by Korvet_068

Share this post


Link to post
Share on other sites

я думаю DNS-tunneling. нужно смотреть статистику по среднему размеру пакетов

Share this post


Link to post
Share on other sites

Были умники которые использовали протокол DNS, для несанкционированного выхода в интернет

Share this post


Link to post
Share on other sites

днс амплификейшн.

Закройте к ним 53 порт снаружи.

Share this post


Link to post
Share on other sites

Закройте к ним 53 порт снаружи.

+1. Сам смотрел сначала в эту сторону, Потом правила написал и зыбыл

Share this post


Link to post
Share on other sites

Мои ДНС смотрят в интернет, не дадут мне закрыть порт 53 наружу, скорее всего.

Ещё смущает вот что - проблема только у клиентов на модемах, те кто на эзернете - работают без проблем.

Share this post


Link to post
Share on other sites

Как можно проверить что качается?

поднять тестовое соединение с модема?)

Share this post


Link to post
Share on other sites

Ещё смущает вот что - проблема только у клиентов на модемах, те кто на эзернете - работают без проблем.

Спросите у их внешнего адреса какую-нибудь левую зону...

У некоторых модемов рекурсивный DNS какого-то фига на внешнем интерфейсе для всего белого света открыт. Вот ими для DNS amplification и пользуются.

 

И тут их адреса поищите: http://openresolverproject.org/

Share this post


Link to post
Share on other sites

поднять тестовое соединение с модема?)

 

Можете чуть подробнее расписать? Я намека не улавливаю... Первый раз такую траблу ловлю.

 

 

Сайт с виду перспективный, спасибо!

Модем Zyxel 660, весь день ковырял веб-морду, там есть какой-то пункт про ДНС, он у меня отключен... Надо в правилах фаервола на модеме запретить порт 53?

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Если сидишь под виндой то: http://netlab.dhis.org/wiki/ru:software:win:net:dns_lookup

вбиваешь в поле DNS server adress внешний IP твоих подозрительных роутеров и жмякаешь кнопку.

Если ответ есть - значит там резолвер доступен извне.

Сидя в дома вбивать внешний адрес своего мопеда - может быть ложно положительный результат.

 

Для не винды есть аналогичные консольные утилиты.

Share this post


Link to post
Share on other sites

Модем Zyxel 660, весь день ковырял веб-морду, там есть какой-то пункт про ДНС, он у меня отключен... Надо в правилах фаервола на модеме запретить порт 53?

Оно, родимое. Уж какая версия (ru, ru2, ru3...) и в каких условиях ( ipoa, pppoa...) - не помню. Вроде, там, где по телнету меню с цифирьками. Там в настройках не убирается оно. Только фаерволом резать.

Share this post


Link to post
Share on other sites

Так, на модемах даже через веб-морду настроилось правило фаервола чтобы рубить коннекты на WAN-адрес модема по порту 53.

Теперь они сайтами не определяются как уязвимые к атаке ДНС.

Слежу за трафиком пока.

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Korvet_068, доброго времени суток.

 

Скорее всего, Ваши модемы, находящиеся на прямых («белых») IP адресах,

принимают DNS запрос от любых хостов! Успешно перенаправляя запрос,

на указанные в конфигурации модема DNS сервер.

 

Самым простым способом проверки, может быть утилита «nslookup» (под OS Windows).

Из «внешнего Мира», проверив наличие связности до IP адреса модема (утилита «ping»),

запускаете:

 

C:\ >nslookup

Используя команду «server», указываете IP адреса модема.

 

> server 8.8.8.8

 

(вместо 8.8.8.8 указываете IP адреса модема)

 

Обратитесь к имени ya.ru.

 

Если получаете ответ:

 

> ya.ru

Server: IP адрес модема

Address: IP адрес модема

Non-authoritative answer:

Name: ya.ru

Addresses: 213.180.204.3, 213.180.193.3, 93.158.134.3

 

То, при таком ответе, Ваш модем успешно ретранслировал обращение к DNS,

что собственно является причиной проблемы.

 

Для верности можно повторить тест из разных точек «Мира»,

указывая различные IP адреса модемов.

 

 

Возможное решение:

 

Как уже советовали выше, на «головных» маршрутизаторах запретить «общение»

модемов по DNS портам (53 TCP/UDP) с «внешним Миром».

 

В качестве единственно доступных, указать исключительно свои серверы,

указав в конфигурации модемов эти серверы.

 

Для тех кто «имеет DNS сервер дома» за модемом, сделать исключение из правила,

при его обращении.

 

Мне кажется бесполезным «насиловать» модемы. Опции ПО на них, сильно урезаны.

И если на модем есть доступ пользователя, он без Вашего ведома настроит модем,

как ему кажется правильным.

Share this post


Link to post
Share on other sites

На модемы доступа у клиентов теоретически нет, там всё под паролями.

У меня в сети схема rоuter on a stick: создан субинтерфейс, на него повешена сетка и модемы после РРРоЕ авторизации получают автоматически внешние адреса из этой сетки.

Как думаете - аксесс лист, дропающий ДНС запросы из внешнего мира, для этого субинтерфейса будет input?

 

На нескольких модемах я закрыл запросы по ДНС вручную через веб-морду, послежу несколько дней за биллингом и расскажу.

 

Через nslookup модемы не перенаправляют запросы, но через сайты-тестировщики DNS и через команду dig с линуксовой машины они видны как уязвимые. После настройки модемного фаервола уязвимость не отображается.

Но повесить аксесс-лист это проще чем всех клиентов обходить...

Edited by Korvet_068

Share this post


Link to post
Share on other sites

И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы?

Share this post


Link to post
Share on other sites

Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами.

Share this post


Link to post
Share on other sites

 

> ya.ru

Server: IP адрес модема

Address: IP адрес модема

Non-authoritative answer:

Name: ya.ru

Addresses: 213.180.204.3, 213.180.193.3, 93.158.134.3

 

То, при таком ответе, Ваш модем успешно ретранслировал обращение к DNS,

что собственно является причиной проблемы.

 

 

+1

Share this post


Link to post
Share on other sites
И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы?
Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами.

Ну и порно!

 

Если это дсл модемы с пппое то ип адрес, днс и прочие настройки они получают по ппп.

Прописывать абонентам адреса в сетевых адаптерах руками - прошлый век! совершенно бесполезная работа.

Share this post


Link to post
Share on other sites

Korvet_068, доброго времени суток.

 

Модем в Вашем случае выполняет функции маршрутизатора (роутера),

в этом режиме подавляющее большинство современных модемов

(скорее всего все), будут выполнять роль ретранслятора DNS запросов.

 

При корректной прошивке модем, должен ретранслировать DNS запросы только

локальной сити (LAN) абонента, но как видите это не всегда так.

 

Даже если адрес DNS сервера «в ручную» прописан на «сетевом подключении» абонента,

модем не перестаёт играть роль ретранслятора DNS запросов. Возможно, но маловероятно,

что на модеме прописаны адреса DNS серверов производителя, а может быть и Ваш PPPoE

сервер отдаёт какие-то адреса DNS серверов модему, но Вы это не проверили.

 

 

Много раз на этом форуме и не только на этом, советовалось запретить хождение DNS трафика

от абонентов в «Мир», используя только совой DNS сервер(а).

 

Абоненту, которому действительно нужен DNS порт, попросит Вас открыть его на прямом IP,

большинство даже не спросит об этом.

 

Касательно access-list’а на интерфейсе, да Вы правы, можно сделать input.

 

В простейшем примере:

!

interface Virtual-XXX

ip access-group access-inbound in

. . .

!

ip access-list extended access-inbound

permit udp host «IP Вашего DNS сервера» any eq 53

permit tcp host «IP Вашего DNS сервера» any eq 53

deny tcp any any eq 53

deny udp any any eq 53

permit ip any any

 

Боюсь ошибиться в синтаксисе, «кошки» под рукой нет, что бы проверить.

Хотя о чём я, может у Вас и не «кошка» вовсе. В общем, идеология такая.

Share this post


Link to post
Share on other sites
И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы?
Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами.

Ну и порно!

 

Если это дсл модемы с пппое то ип адрес, днс и прочие настройки они получают по ппп.

Прописывать абонентам адреса в сетевых адаптерах руками - прошлый век! совершенно бесполезная работа.

 

 

+1

Share this post


Link to post
Share on other sites

Авторизация у меня делается в Cisco ACS, искал там перечень отдаваемых модему параметров и кроме айпишника ничего не обнаружил.

 

Практика писать айпишники клиентам руками пошла ещё до меня, не знаю зачем так делать. Можно было хоть часть сетки оставить в ДХЦП.

Share this post


Link to post
Share on other sites

 

В простейшем примере:

!

interface Virtual-XXX

ip access-group ACCESS-INBOUND out

. . .

!

ip access-list extended ACCESS-INBOUND

permit udp host «IP Вашего DNS сервера» any eq 53

permit tcp host «IP Вашего DNS сервера» any eq 53

deny tcp any any eq 53

deny udp any any eq 53

permit ip any any

 

Боюсь ошибиться в синтаксисе, «кошки» под рукой нет, что бы проверить.

Хотя о чём я, может у Вас и не «кошка» вовсе. В общем, идеология такая.

 

В общем написал я аксесс-лист для циски как в примере и повесил на нужный virtual-template интерфейс. Только вешать надо был как output. Стало сразу хорошо - днсный мусор рубится миллионами пакетов, в биллинг идёт только хороший трафик. Всем спасибо за ценные указания.

Только советую всем сразу приучить себя писать ИМЕНА аксесс-листов, роутмапов и прочего БОЛЬШИМИ буквами, так легче читать конфиг.

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this