Перейти к содержимому
Калькуляторы

XYZ упал А написать некуда!!!

6 минут назад, mikezzzz сказал:

закрывайте порт..

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, ayf сказал:

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

на каждый айпи интерфейс

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, zhenya` сказал:

на каждый айпи интерфейс

Успел:)
 

000018: Apr  6 22:00:48.876: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection
000019: Apr  6 22:31:08.139: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще ещё с утра повесил на бордере правило на входе на этот порт... за час настреляло 3274 срабатываний, а потом как отрезало.. кажется гдето выше ктото сделал тоже самое. к вечеру только +15 срабатываний...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Знакомые жалуются на пропадание линка с релкомом/демосом.. но из вне IP на стороне релкома отзывается. Похоже  чтото в промежутке стоит... точнее стояло.

 

зы.

ну зачем так делать..

nserver:       ns1.providersolutions.ru. 89.253.252.13
nserver:       ns2.providersolutions.ru. 89.253.252.15
там один мой любимый ресурс на почтиать перед сном был.. оба не алё... сам русоник, чьи IP, вроде живой.

 

Но трафик на MskIX в пределах как обычно, кстати..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только приехал из ДЦ, в 18:50 умерли два каталиста 3750. Классный вечер пятницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот как это выглядит (для коллекции). Как это сделали - хз... ибо коммутатор наружу ничем не смотрел.

IMG_20180407_011309.983.jpg

Изменено пользователем borcat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 minutes ago, nickD said:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Согласен что такое нужно делать с железом наружу. Это внутренняя железка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 минуты назад, nickD сказал:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Когда у вас будет сеть больше 3-х свитчей, а тех персонала больше 2-х людей, тогда и узнаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интерфейсов смотрящих во вне не было на ней вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 minutes ago, nickD said:

интерфейсов смотрящих во вне не было на ней вообще?

Именно!

 

Очевидно где-то в подсети бот сидел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, ayf сказал:

Управление - чисто внутренний влан, без выхода в интернет. КАК?

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, borcat сказал:

Именно!

 

Очевидно где-то в подсети бот сидел...

Повесить в те сети, где были IP на пострадатой кошке писюк с tcpdump/wareshark и послушать искомый порт ? tspdump -e не забыть, IP может быть и фейковый.  Ну казачка ндо же както давить ? (ну понятно что он мог быть одноразовый, но все же)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Как-то мрачно... Опорная сеть у меня на кисках 29*, 35*,37*, без доступа в инет и реальников. Только на одной нашел нмапом это.  Последствий не ощутил, от аплинков тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

39 минут назад, Andrei сказал:

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации.

Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вчера зарезали на бордерах, перед этим потеряв две 3750, статистика фильтра на сейчас:

user@border-rt0> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                61987                 1199

{master}
user@border-rt0> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 8020                  159

{master}
user@border-rt0> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                33777                  662

user@border-rt1> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                    0                    0

{master}
user@border-rt1> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 2768                   63

{master}
user@border-rt1> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                  480                   11

{master}
user@border-rt1> show firewall filter ae0.1011-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-ae0.1011-i                   40                    1

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, YuryD сказал:

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ayf сказал:

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, zhenya` сказал:

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

 cdp расковыряли все кому не лень. и он даёт достаточно информации о соседях, чтобы навредить. например микротиков видно и убнт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

30 минут назад, s.lobanov сказал:

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

+++

cdp в нужных местах ничего не ухудшает. а вот если дать ssh/snmp до такого роутера, то злоумышленник уже может топологию поглядеть и на соседей..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трафик VK и Google через Мегафон просел сильно. Через Билайн без изменений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.