Перейти к содержимому
Калькуляторы

Китайские DVR и ДДоС

За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это.

 

В итоге генерируют большое кол-во соединений наружу, что весьма печально.

tcp      6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1
tcp      6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1
tcp      6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1
tcp      6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1
tcp      6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1
tcp      6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1
tcp      6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1
tcp      6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1
tcp      6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1
tcp      6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1
tcp      6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1
tcp      6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1
tcp      6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1

 

И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта.

 

Попробовал через connlimit машина ушла в штопор...

 

Есть какие либо мысли? (проблема только с белыми адресами)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это.

 

В итоге генерируют большое кол-во соединений наружу, что весьма печально.

tcp      6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1
tcp      6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1
tcp      6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1
tcp      6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1
tcp      6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1
tcp      6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1
tcp      6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1
tcp      6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1
tcp      6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1
tcp      6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1
tcp      6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1
tcp      6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1
tcp      6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1

 

И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта.

 

Попробовал через connlimit машина ушла в штопор...

 

Есть какие либо мысли? (проблема только с белыми адресами)

 

NOTRACK на белые адреса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как крайний вариант, возможно. Так как не решит всей проблемы, поскольку они ДДоСят, и приходят жалобы на таких клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аналогичная проблема, прям эпидемия пока с одним разбирался еще два в сети нашел, убивают conntrack. Пока отключил юзера, думал connlimit спасет но пока не пробывал.

А что с connlimit не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может ограничит скорость поступления от них syn, а затем connlimit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вырубать таких клиентов сразу же, пока не отключат железку или не пофиксят, ибо оставлять их работать - преступление.

А то как всегда, многие думают как бы убрать свою проблему, а на то, что они ддосят кого-то пофиг. А потом будут визги и писки "спасите-помогите" когда на такого горе-провайдера ддос в гигабит 100 приедет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вырубали таких, доходило до абсурда, выключали - звонят просят включить мол поправили и так всю неделю, потом скандал по телефону, истеричные юр. лица женских особей которые ничего слышать и понимать не хочят, но пару регистраторов зато имеют с вирусами, которые ни как не обслуживаются и на админе экономить можно, ваще збс.

 

А вообще прежде чем одну тему создавать — надо посмотреть на соседние, совсем недавно создали http://forum.nag.ru/forum/index.php?showtopic=123201

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тему по вашей ссылке читаю, создал отдельно: 1) Потому что там человека ДДоСят, а не он ддосит. 2) Потому что здесь и определенный ДДоС, именно регистраторы. Одна из целей темы, может быть кто-то глубоко изучил суть проблемы с ДВРами, и знает решение проблемы. Ну примеру залочить порт какой либо или еще что-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих..

 

Задача же не денеге стрясти с абонента. (которые они и так платит за белый ИП). А решить проблему так? что бы она и мне и другим не мешала (в ввиде ДДоСА на чужие сети).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если юзер безмозглый скандалист, а вы под него продавливаетесь - у вас единственный выход, чинить сеть юзера, например подарить юзеру роутер с openwrt, на который у вас есть доступ и где вы сможете заблочить весь исходящий траффик конкретно с DVR, и открыть лишь порты для доступа извне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собственно, выше Вам все сказали: либо режете порты на вход для этих клиентов, либо помогаете настраивать клиенту оборудование. Или оставляете все как есть и ждете, пока к Вам ответка прилетит в виде 300G и 300MPPS какого-нибудь tcp-SYN или GRE. От этих всяких криво настроенных роутеров с DVR-ами еще много беды будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip.

Подозреваю что он у вас настроен не правильно: вероятно он сразу возвращает ресет, а надо дропать син пакет, тогда клиент не будет так активно долбится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убираю connlimit, оставляю --syn -j reject

Все ok. Отсюда вывод не юзабелен connlimit.

Блин, не ужели в linux, нету инструмента ограничивающих тупо количество сессий, везде токо скорость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

Если поставить абоненту обычный роутер, к примеру, тплинк, там в настройках можно включить

- фильтрацию от атак ICMP-FLOOD

- фильтрацию UDP-FLOOD

- фильтрацию от атак TCP-SYN-FLOOD

Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту?

Изменено пользователем Badyavka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тплинк, там в настройках можно включить

- фильтрацию от атак ICMP-FLOOD

- фильтрацию UDP-FLOOD

- фильтрацию от атак TCP-SYN-FLOOD

Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту?

это не спортивно. поможет.

 

оно тупо банит ip источника по всем протоколам.

неаккуратно включенная фильтрация UDP-FLOOD рубит на корню торренты и иногда видеочат скайпа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

 

В том, что клиенты "пробрасывают" порт веб-сервера DVR "наружу". Пароли не меняют + безопасности в софте этих DVR нет никакой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

У вас там чо инет отключили?

Ботнет мираи замутился как раз на этих регистраторах, им положили Dyn -DNS прова в америке из за чего на позапрошлой неделе у них там инторнеты плохо похали.

Там не вирус, там дефолтные пароли и относительно проста херня которая как когда то кодеред от одного заражённого к другому но при этом ещё и рулится централизованно.

В результате у чуваков по желанию дохера гигабит говна может лится куда захотят.

Учитывая общепланитарный низкий уровень интеллекта и высокий рас***яйства оно ещё лет 5 будет жить, пока регистраторы частично сами не сдохнут а частично их не прикроют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://habrahabr.ru/company/erlyvideo/blog/314146/
Изменено пользователем Стич

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и кто этим будет заниматься?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.