Jump to content
Калькуляторы

Китайские DVR и ДДоС

Reply to this topic

Morbid   

Morbid
Posted

За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это.

 

В итоге генерируют большое кол-во соединений наружу, что весьма печально.

tcp      6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1
tcp      6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1
tcp      6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1
tcp      6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1
tcp      6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1
tcp      6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1
tcp      6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1
tcp      6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1
tcp      6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1
tcp      6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1
tcp      6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1
tcp      6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1
tcp      6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1

 

И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта.

 

Попробовал через connlimit машина ушла в штопор...

 

Есть какие либо мысли? (проблема только с белыми адресами)

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted

За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это.

 

В итоге генерируют большое кол-во соединений наружу, что весьма печально.

tcp      6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1
tcp      6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1
tcp      6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1
tcp      6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1
tcp      6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1
tcp      6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1
tcp      6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1
tcp      6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1
tcp      6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1
tcp      6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1
tcp      6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1
tcp      6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1
tcp      6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1

 

И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта.

 

Попробовал через connlimit машина ушла в штопор...

 

Есть какие либо мысли? (проблема только с белыми адресами)

 

NOTRACK на белые адреса?

Share this post

Link to post
Share on other sites

Morbid   

Morbid
Posted

Как крайний вариант, возможно. Так как не решит всей проблемы, поскольку они ДДоСят, и приходят жалобы на таких клиентов.

Share this post

Link to post
Share on other sites

nickD   

nickD
Posted

Аналогичная проблема, прям эпидемия пока с одним разбирался еще два в сети нашел, убивают conntrack. Пока отключил юзера, думал connlimit спасет но пока не пробывал.

А что с connlimit не так.

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

Вырубать таких клиентов сразу же, пока не отключат железку или не пофиксят, ибо оставлять их работать - преступление.

А то как всегда, многие думают как бы убрать свою проблему, а на то, что они ддосят кого-то пофиг. А потом будут визги и писки "спасите-помогите" когда на такого горе-провайдера ддос в гигабит 100 приедет.

Share this post

Link to post
Share on other sites

hsvt   

hsvt
Posted (edited)

Вырубали таких, доходило до абсурда, выключали - звонят просят включить мол поправили и так всю неделю, потом скандал по телефону, истеричные юр. лица женских особей которые ничего слышать и понимать не хочят, но пару регистраторов зато имеют с вирусами, которые ни как не обслуживаются и на админе экономить можно, ваще збс.

 

А вообще прежде чем одну тему создавать — надо посмотреть на соседние, совсем недавно создали http://forum.nag.ru/forum/index.php?showtopic=123201

Edited by hsvt

Share this post

Link to post
Share on other sites

Morbid   

Morbid
Posted

Тему по вашей ссылке читаю, создал отдельно: 1) Потому что там человека ДДоСят, а не он ддосит. 2) Потому что здесь и определенный ДДоС, именно регистраторы. Одна из целей темы, может быть кто-то глубоко изучил суть проблемы с ДВРами, и знает решение проблемы. Ну примеру залочить порт какой либо или еще что-то.

Share this post

Link to post
Share on other sites

satboy   

satboy
Posted

Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих..

Share this post

Link to post
Share on other sites

Morbid   

Morbid
Posted

Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих..

 

Задача же не денеге стрясти с абонента. (которые они и так платит за белый ИП). А решить проблему так? что бы она и мне и другим не мешала (в ввиде ДДоСА на чужие сети).

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

Если юзер безмозглый скандалист, а вы под него продавливаетесь - у вас единственный выход, чинить сеть юзера, например подарить юзеру роутер с openwrt, на который у вас есть доступ и где вы сможете заблочить весь исходящий траффик конкретно с DVR, и открыть лишь порты для доступа извне.

Share this post

Link to post
Share on other sites

DGM   

DGM
Posted

Собственно, выше Вам все сказали: либо режете порты на вход для этих клиентов, либо помогаете настраивать клиенту оборудование. Или оставляете все как есть и ждете, пока к Вам ответка прилетит в виде 300G и 300MPPS какого-нибудь tcp-SYN или GRE. От этих всяких криво настроенных роутеров с DVR-ами еще много беды будет.

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip.

Подозреваю что он у вас настроен не правильно: вероятно он сразу возвращает ресет, а надо дропать син пакет, тогда клиент не будет так активно долбится.

Share this post

Link to post
Share on other sites

nickD   

nickD
Posted

Убираю connlimit, оставляю --syn -j reject

Все ok. Отсюда вывод не юзабелен connlimit.

Блин, не ужели в linux, нету инструмента ограничивающих тупо количество сессий, везде токо скорость.

Share this post

Link to post
Share on other sites

Badyavka   

Badyavka
Posted (edited)

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

Если поставить абоненту обычный роутер, к примеру, тплинк, там в настройках можно включить

- фильтрацию от атак ICMP-FLOOD

- фильтрацию UDP-FLOOD

- фильтрацию от атак TCP-SYN-FLOOD

Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту?

Edited by Badyavka

Share this post

Link to post
Share on other sites

stas_k   

stas_k
Posted

тплинк, там в настройках можно включить

- фильтрацию от атак ICMP-FLOOD

- фильтрацию UDP-FLOOD

- фильтрацию от атак TCP-SYN-FLOOD

Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту?

это не спортивно. поможет.

 

оно тупо банит ip источника по всем протоколам.

неаккуратно включенная фильтрация UDP-FLOOD рубит на корню торренты и иногда видеочат скайпа.

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

 

В том, что клиенты "пробрасывают" порт веб-сервера DVR "наружу". Пароли не меняют + безопасности в софте этих DVR нет никакой.

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

У вас там чо инет отключили?

Ботнет мираи замутился как раз на этих регистраторах, им положили Dyn -DNS прова в америке из за чего на позапрошлой неделе у них там инторнеты плохо похали.

Там не вирус, там дефолтные пароли и относительно проста херня которая как когда то кодеред от одного заражённого к другому но при этом ещё и рулится централизованно.

В результате у чуваков по желанию дохера гигабит говна может лится куда захотят.

Учитывая общепланитарный низкий уровень интеллекта и высокий рас***яйства оно ещё лет 5 будет жить, пока регистраторы частично сами не сдохнут а частично их не прикроют.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...