Jump to content
Калькуляторы

DDOS-ят абонентские ONU

коллеги, доброго дня!

обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630

https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4

вот список адресов собрал за 1,5 часа

119.167.181.134
185.71.64.0/24
36.42.73.196
103.125.86.240
47.75.1.248
205.198.7.0/24

 

src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80

ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение?

Share this post


Link to post
Share on other sites

Может всё же абонентские устройства, подключенные за этими онушками?

Share this post


Link to post
Share on other sites
1 минуту назад, passer сказал:

Может всё же абонентские устройства, подключенные за этими онушками?

тогда был бы трафик и с других ону, обычных простых не настраиваемых, но этого нет

Share this post


Link to post
Share on other sites

Ддосят все включенные онушки этой модели? На них реальник был?

Share this post


Link to post
Share on other sites
10 минут назад, yKpon сказал:

ддоят не их, а они

Это я понял. Вы не ответили - все они такие общественно активные?

Просто мои абоненты, проявившие себя на такой ниве, чаще всего имели в наличии китайский видеорегистратор (DVR) с реальником или парой-тройкой проброшенных на такой DVR портов.

Исключать эксплоит не приходится, но сделать стат выборку, сколько установлено, сколько включенных и сколько ддосят перед наездом на вендора однозначно стоит, по-моему.

Edited by passer

Share this post


Link to post
Share on other sites
7 минут назад, passer сказал:

перед наездом на вендора однозначно стоит, по-моему.

попозже на узле для теста поставлю такую же, отпишусь

Share this post


Link to post
Share on other sites

Самый простой вариант - включить ONU у заранее провереного клиента (или даже в оффисе) с чистой виндой, и ону совсем без клиентов, но настроеную.

Вариант трояна в прошивке, особенно в нонейм-onu из китая вполне может иметь место.

 

Share this post


Link to post
Share on other sites

 

2 часа назад, yKpon сказал:

выяснилось ддосят онушки

как её могут дУдосить если для хомяка она работает на канальном уровне?

или вы управление тоже запихнули в access?

Share this post


Link to post
Share on other sites

Онушки с вафлей сплошь HGU, т.е. функционал ната, роутинга и вафли по-меньшей мере реализован.

Share this post


Link to post
Share on other sites

А ее нельзя мониторить? Ну т.е. снимать выход и вход?

Share this post


Link to post
Share on other sites

Не все онушки позволяют по snmp c olt получать статистику с ethernet (а в данном случае еще и с вафли) порта онушки. Словом, проще поступить как предложил @[anp/hsw]

Share this post


Link to post
Share on other sites

я уточню, DDOS-ят сами онушки внешние ресурсы

причём в списке один из ресурсов это Stormwall в Сколково ip 185.71.64.150

 

и так, поставил из коробки новую ону, ведёт себя тихо на фоне ддосящих, оставлю её включенной, выдал ей внешний ip, есть подозрение что она проявит себя не сразу

после перезагрузки ону абонента ддос прекращается, неизвестно на какое время

лично подключал одного абонента, клиенты только по wifi, lan порт 100% не задействован, зашёл по удалёнке, отключил wifi, ддос продолжается, так что даю 90% что эксплоит в прошивке

Share this post


Link to post
Share on other sites
6 часов назад, yKpon сказал:

так что даю 90% что эксплоит в прошивке

Если продавец вам откажет в выдаче прошивки без эксплоита, то можете написать мне в лс или в телегу, возможно можно будет выпилить его из прошивки и перепрошить onu (если хоть какая-то прошивка для них у вас есть). Я этим как раз занимаюсь на платой основе.

Share this post


Link to post
Share on other sites

обнаружил что эти ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422, делаю предположение, что это эксплоит получает задания, закрыл по ip на узле в 0:20 и вроде всё утихло =)) графики pon портов на olt, графики инверсные in/out местами поменяно

8b1b03d1b129058bbb51a42e9e4cc95c.png
https://gyazo.com/8b1b03d1b129058bbb51a42e9e4cc95c

 

Share this post


Link to post
Share on other sites

Очевидно, что айпишник может быть и не один. Что при этом говорит производитель устройств/продавец? Удалось с ними связаться?

 

Share this post


Link to post
Share on other sites

Эксплойт в прошивке, а троян в ОЗУ. Как перезагрузил ONU - трояна нет, пока её опять не найдут...

Share this post


Link to post
Share on other sites
5 часов назад, yKpon сказал:

ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422

Особенно прикольно что ip принадлежит некой DDOS-GUARD CORP. , Belize.

Edited by passer

Share this post


Link to post
Share on other sites

А это такие "весёлые" ону вы брали на KDDS или напрямую у c-data? А обновление на более новую прошивку не решает проблемы? 

Share this post


Link to post
Share on other sites

Сейчас все дешевые онушки с троянами, надо же как-то потом отбивать затраты. Дорогие онушки крупных производителей в таком не замечены.

Share this post


Link to post
Share on other sites
В 04.03.2020 в 17:31, yKpon сказал:

коллеги, доброго дня!

обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630

https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4

вот список адресов собрал за 1,5 часа

119.167.181.134
185.71.64.0/24
36.42.73.196
103.125.86.240
47.75.1.248
205.198.7.0/24

 

src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80

ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение?

Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !!

Share this post


Link to post
Share on other sites
2 часа назад, rdmitrich сказал:

Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !!

Онушки за нат - как повлияет смена пароля?

Share this post


Link to post
Share on other sites
3 минуты назад, SyJet сказал:

Онушки за нат - как повлияет смена пароля?

вы исключаете вирус на ПК абонента ?   Как показала практика, экономят абсолютно на всем....

Share this post


Link to post
Share on other sites
Только что, rdmitrich сказал:

вы исключаете вирус на ПК абонента ?   Как показала практика, экономят абсолютно на всем....

Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный

Share this post


Link to post
Share on other sites
3 минуты назад, VolanD666 сказал:

Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный

у нас такая проблема была, все решилось заменой стандартного пароля, ну и прошивку смените, у нас сейчас 2.1.12

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this