Перейти к содержимому
Калькуляторы

Причины большого трафика DNS Модемы накачивают с ДНС гигабайты!

ASR1001#show ip cache flow | i 61.145.2.71
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 e376 0035    15 
EVSI269       61.145.2.71     gi0/0/1       72.30.196.161   06 311f 01bb     8 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 acc4 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 d419 0035    15 
EVSI269       61.145.2.71     gi0/0/1       178.255.154.12  06 64b9 0050     1 
EVSI269       61.145.2.71     te0/1/0.90    61.145.14.10    11 0401 0035    38 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 d699 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 38c8 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 90f8 0035    15 
EVSI269       61.145.2.71     gi0/0/1       195.27.162.15   06 6370 2694     2 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 2986 0035    15 
gi0/0/0       178.255.154.12  EVSI269*      61.145.2.71     06 0050 64ae     1 
EVSI269       61.145.2.71     gi0/0/0       188.125.93.39   06 2b19 01bb     4 
EVSI269       61.145.2.71     te0/1/0.90    61.145.14.20    11 0401 0035    86 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 b9f6 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 40f1 0035    15 
te0/1/0.90    61.145.14.10    EVSI269*      61.145.2.71     11 0035 0401    91 
te0/1/0.90    61.145.14.10    EVSI269*      61.145.2.71     11 0000 0000   304 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 e9a9 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 7b63 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 6a44 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 64d0 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 bd09 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 f3cf 0035    15 
te0/1/0.90    61.145.14.20    EVSI269*      61.145.2.71     11 0035 0401    58 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 b095 0035    15 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 6593 0035    15 
EVSI269       61.145.2.71     gi0/0/1       178.255.154.12  06 64ae 0050     2 
gi0/0/1       73.183.191.140  EVSI269*      61.145.2.71     11 4114 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 b736 0035    15 
gi0/0/1       217.146.1.3     EVSI269*      61.145.2.71     06 1732 6377     1 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 82c1 0035    15 
gi0/0/1       189.73.155.20   EVSI269*      61.145.2.71     11 31c9 0035    15 
ASR1001#

 

Доброго дня. Вот лог трафика модема. 61.145.2.71 - это WAN адрес модема. Все модемы сидят в одном влане, авторизуются через РРР и получают динамический внешний адрес. 61.145.14.10 и 61.145.14.20 это ДНС-серверы, модемы за месяц накачивают с них гигабайты трафика, я не знаю что можно с ДНС тащить в таком количестве. Правая колонка это счётчик пакетов, видно что с ДНС пакетов десятки и сотни.

Кто-нибудь сталкивался с таким? Как можно проверить что качается? Читал про атаку DNS amplification, но коллективным разумом было решено что наши ДНС этому не подвержены.

Изменено пользователем Korvet_068

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я думаю DNS-tunneling. нужно смотреть статистику по среднему размеру пакетов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Таких модемов у меня десятки - все заняты туннелингом???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Были умники которые использовали протокол DNS, для несанкционированного выхода в интернет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

днс амплификейшн.

Закройте к ним 53 порт снаружи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закройте к ним 53 порт снаружи.

+1. Сам смотрел сначала в эту сторону, Потом правила написал и зыбыл

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мои ДНС смотрят в интернет, не дадут мне закрыть порт 53 наружу, скорее всего.

Ещё смущает вот что - проблема только у клиентов на модемах, те кто на эзернете - работают без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как можно проверить что качается?

поднять тестовое соединение с модема?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё смущает вот что - проблема только у клиентов на модемах, те кто на эзернете - работают без проблем.

Спросите у их внешнего адреса какую-нибудь левую зону...

У некоторых модемов рекурсивный DNS какого-то фига на внешнем интерфейсе для всего белого света открыт. Вот ими для DNS amplification и пользуются.

 

И тут их адреса поищите: http://openresolverproject.org/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы попробуйте

https://radar.qrator.net

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поднять тестовое соединение с модема?)

 

Можете чуть подробнее расписать? Я намека не улавливаю... Первый раз такую траблу ловлю.

 

 

Сайт с виду перспективный, спасибо!

Модем Zyxel 660, весь день ковырял веб-морду, там есть какой-то пункт про ДНС, он у меня отключен... Надо в правилах фаервола на модеме запретить порт 53?

Изменено пользователем Korvet_068

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если сидишь под виндой то: http://netlab.dhis.org/wiki/ru:software:win:net:dns_lookup

вбиваешь в поле DNS server adress внешний IP твоих подозрительных роутеров и жмякаешь кнопку.

Если ответ есть - значит там резолвер доступен извне.

Сидя в дома вбивать внешний адрес своего мопеда - может быть ложно положительный результат.

 

Для не винды есть аналогичные консольные утилиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Модем Zyxel 660, весь день ковырял веб-морду, там есть какой-то пункт про ДНС, он у меня отключен... Надо в правилах фаервола на модеме запретить порт 53?

Оно, родимое. Уж какая версия (ru, ru2, ru3...) и в каких условиях ( ipoa, pppoa...) - не помню. Вроде, там, где по телнету меню с цифирьками. Там в настройках не убирается оно. Только фаерволом резать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так, на модемах даже через веб-морду настроилось правило фаервола чтобы рубить коннекты на WAN-адрес модема по порту 53.

Теперь они сайтами не определяются как уязвимые к атаке ДНС.

Слежу за трафиком пока.

Изменено пользователем Korvet_068

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Korvet_068, доброго времени суток.

 

Скорее всего, Ваши модемы, находящиеся на прямых («белых») IP адресах,

принимают DNS запрос от любых хостов! Успешно перенаправляя запрос,

на указанные в конфигурации модема DNS сервер.

 

Самым простым способом проверки, может быть утилита «nslookup» (под OS Windows).

Из «внешнего Мира», проверив наличие связности до IP адреса модема (утилита «ping»),

запускаете:

 

C:\ >nslookup

Используя команду «server», указываете IP адреса модема.

 

> server 8.8.8.8

 

(вместо 8.8.8.8 указываете IP адреса модема)

 

Обратитесь к имени ya.ru.

 

Если получаете ответ:

 

> ya.ru

Server: IP адрес модема

Address: IP адрес модема

Non-authoritative answer:

Name: ya.ru

Addresses: 213.180.204.3, 213.180.193.3, 93.158.134.3

 

То, при таком ответе, Ваш модем успешно ретранслировал обращение к DNS,

что собственно является причиной проблемы.

 

Для верности можно повторить тест из разных точек «Мира»,

указывая различные IP адреса модемов.

 

 

Возможное решение:

 

Как уже советовали выше, на «головных» маршрутизаторах запретить «общение»

модемов по DNS портам (53 TCP/UDP) с «внешним Миром».

 

В качестве единственно доступных, указать исключительно свои серверы,

указав в конфигурации модемов эти серверы.

 

Для тех кто «имеет DNS сервер дома» за модемом, сделать исключение из правила,

при его обращении.

 

Мне кажется бесполезным «насиловать» модемы. Опции ПО на них, сильно урезаны.

И если на модем есть доступ пользователя, он без Вашего ведома настроит модем,

как ему кажется правильным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На модемы доступа у клиентов теоретически нет, там всё под паролями.

У меня в сети схема rоuter on a stick: создан субинтерфейс, на него повешена сетка и модемы после РРРоЕ авторизации получают автоматически внешние адреса из этой сетки.

Как думаете - аксесс лист, дропающий ДНС запросы из внешнего мира, для этого субинтерфейса будет input?

 

На нескольких модемах я закрыл запросы по ДНС вручную через веб-морду, послежу несколько дней за биллингом и расскажу.

 

Через nslookup модемы не перенаправляют запросы, но через сайты-тестировщики DNS и через команду dig с линуксовой машины они видны как уязвимые. После настройки модемного фаервола уязвимость не отображается.

Но повесить аксесс-лист это проще чем всех клиентов обходить...

Изменено пользователем Korvet_068

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

> ya.ru

Server: IP адрес модема

Address: IP адрес модема

Non-authoritative answer:

Name: ya.ru

Addresses: 213.180.204.3, 213.180.193.3, 93.158.134.3

 

То, при таком ответе, Ваш модем успешно ретранслировал обращение к DNS,

что собственно является причиной проблемы.

 

 

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы?
Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами.

Ну и порно!

 

Если это дсл модемы с пппое то ип адрес, днс и прочие настройки они получают по ппп.

Прописывать абонентам адреса в сетевых адаптерах руками - прошлый век! совершенно бесполезная работа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Korvet_068, доброго времени суток.

 

Модем в Вашем случае выполняет функции маршрутизатора (роутера),

в этом режиме подавляющее большинство современных модемов

(скорее всего все), будут выполнять роль ретранслятора DNS запросов.

 

При корректной прошивке модем, должен ретранслировать DNS запросы только

локальной сити (LAN) абонента, но как видите это не всегда так.

 

Даже если адрес DNS сервера «в ручную» прописан на «сетевом подключении» абонента,

модем не перестаёт играть роль ретранслятора DNS запросов. Возможно, но маловероятно,

что на модеме прописаны адреса DNS серверов производителя, а может быть и Ваш PPPoE

сервер отдаёт какие-то адреса DNS серверов модему, но Вы это не проверили.

 

 

Много раз на этом форуме и не только на этом, советовалось запретить хождение DNS трафика

от абонентов в «Мир», используя только совой DNS сервер(а).

 

Абоненту, которому действительно нужен DNS порт, попросит Вас открыть его на прямом IP,

большинство даже не спросит об этом.

 

Касательно access-list’а на интерфейсе, да Вы правы, можно сделать input.

 

В простейшем примере:

!

interface Virtual-XXX

ip access-group access-inbound in

. . .

!

ip access-list extended access-inbound

permit udp host «IP Вашего DNS сервера» any eq 53

permit tcp host «IP Вашего DNS сервера» any eq 53

deny tcp any any eq 53

deny udp any any eq 53

permit ip any any

 

Боюсь ошибиться в синтаксисе, «кошки» под рукой нет, что бы проверить.

Хотя о чём я, может у Вас и не «кошка» вовсе. В общем, идеология такая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И ещё не пойму - модем ведь динамически получает только IP, про DNS-серверы он не знает. Как он тогда понимает куда пересылать ДНС-запросы?
Адреса DNS прописаны на компах за модемами. В основном клиенты за модемами сидят под серыми статическими адресами.

Ну и порно!

 

Если это дсл модемы с пппое то ип адрес, днс и прочие настройки они получают по ппп.

Прописывать абонентам адреса в сетевых адаптерах руками - прошлый век! совершенно бесполезная работа.

 

 

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Авторизация у меня делается в Cisco ACS, искал там перечень отдаваемых модему параметров и кроме айпишника ничего не обнаружил.

 

Практика писать айпишники клиентам руками пошла ещё до меня, не знаю зачем так делать. Можно было хоть часть сетки оставить в ДХЦП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

В простейшем примере:

!

interface Virtual-XXX

ip access-group ACCESS-INBOUND out

. . .

!

ip access-list extended ACCESS-INBOUND

permit udp host «IP Вашего DNS сервера» any eq 53

permit tcp host «IP Вашего DNS сервера» any eq 53

deny tcp any any eq 53

deny udp any any eq 53

permit ip any any

 

Боюсь ошибиться в синтаксисе, «кошки» под рукой нет, что бы проверить.

Хотя о чём я, может у Вас и не «кошка» вовсе. В общем, идеология такая.

 

В общем написал я аксесс-лист для циски как в примере и повесил на нужный virtual-template интерфейс. Только вешать надо был как output. Стало сразу хорошо - днсный мусор рубится миллионами пакетов, в биллинг идёт только хороший трафик. Всем спасибо за ценные указания.

Только советую всем сразу приучить себя писать ИМЕНА аксесс-листов, роутмапов и прочего БОЛЬШИМИ буквами, так легче читать конфиг.

Изменено пользователем Korvet_068

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.