Перейти к содержимому
Калькуляторы

коллеги, доброго дня!

обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630

https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4

вот список адресов собрал за 1,5 часа

119.167.181.134
185.71.64.0/24
36.42.73.196
103.125.86.240
47.75.1.248
205.198.7.0/24

 

src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80

ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может всё же абонентские устройства, подключенные за этими онушками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, passer сказал:

Может всё же абонентские устройства, подключенные за этими онушками?

тогда был бы трафик и с других ону, обычных простых не настраиваемых, но этого нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ддосят все включенные онушки этой модели? На них реальник был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, yKpon сказал:

ддоят не их, а они

Это я понял. Вы не ответили - все они такие общественно активные?

Просто мои абоненты, проявившие себя на такой ниве, чаще всего имели в наличии китайский видеорегистратор (DVR) с реальником или парой-тройкой проброшенных на такой DVR портов.

Исключать эксплоит не приходится, но сделать стат выборку, сколько установлено, сколько включенных и сколько ддосят перед наездом на вендора однозначно стоит, по-моему.

Изменено пользователем passer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, passer сказал:

перед наездом на вендора однозначно стоит, по-моему.

попозже на узле для теста поставлю такую же, отпишусь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самый простой вариант - включить ONU у заранее провереного клиента (или даже в оффисе) с чистой виндой, и ону совсем без клиентов, но настроеную.

Вариант трояна в прошивке, особенно в нонейм-onu из китая вполне может иметь место.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

2 часа назад, yKpon сказал:

выяснилось ддосят онушки

как её могут дУдосить если для хомяка она работает на канальном уровне?

или вы управление тоже запихнули в access?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Онушки с вафлей сплошь HGU, т.е. функционал ната, роутинга и вафли по-меньшей мере реализован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не все онушки позволяют по snmp c olt получать статистику с ethernet (а в данном случае еще и с вафли) порта онушки. Словом, проще поступить как предложил @[anp/hsw]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я уточню, DDOS-ят сами онушки внешние ресурсы

причём в списке один из ресурсов это Stormwall в Сколково ip 185.71.64.150

 

и так, поставил из коробки новую ону, ведёт себя тихо на фоне ддосящих, оставлю её включенной, выдал ей внешний ip, есть подозрение что она проявит себя не сразу

после перезагрузки ону абонента ддос прекращается, неизвестно на какое время

лично подключал одного абонента, клиенты только по wifi, lan порт 100% не задействован, зашёл по удалёнке, отключил wifi, ддос продолжается, так что даю 90% что эксплоит в прошивке

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, yKpon сказал:

так что даю 90% что эксплоит в прошивке

Если продавец вам откажет в выдаче прошивки без эксплоита, то можете написать мне в лс или в телегу, возможно можно будет выпилить его из прошивки и перепрошить onu (если хоть какая-то прошивка для них у вас есть). Я этим как раз занимаюсь на платой основе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

обнаружил что эти ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422, делаю предположение, что это эксплоит получает задания, закрыл по ip на узле в 0:20 и вроде всё утихло =)) графики pon портов на olt, графики инверсные in/out местами поменяно

8b1b03d1b129058bbb51a42e9e4cc95c.png
https://gyazo.com/8b1b03d1b129058bbb51a42e9e4cc95c

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очевидно, что айпишник может быть и не один. Что при этом говорит производитель устройств/продавец? Удалось с ними связаться?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эксплойт в прошивке, а троян в ОЗУ. Как перезагрузил ONU - трояна нет, пока её опять не найдут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, yKpon сказал:

ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422

Особенно прикольно что ip принадлежит некой DDOS-GUARD CORP. , Belize.

Изменено пользователем passer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А это такие "весёлые" ону вы брали на KDDS или напрямую у c-data? А обновление на более новую прошивку не решает проблемы? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас все дешевые онушки с троянами, надо же как-то потом отбивать затраты. Дорогие онушки крупных производителей в таком не замечены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 04.03.2020 в 17:31, yKpon сказал:

коллеги, доброго дня!

обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630

https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4

вот список адресов собрал за 1,5 часа

119.167.181.134
185.71.64.0/24
36.42.73.196
103.125.86.240
47.75.1.248
205.198.7.0/24

 

src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80

ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение?

Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, rdmitrich сказал:

Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !!

Онушки за нат - как повлияет смена пароля?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, SyJet сказал:

Онушки за нат - как повлияет смена пароля?

вы исключаете вирус на ПК абонента ?   Как показала практика, экономят абсолютно на всем....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, rdmitrich сказал:

вы исключаете вирус на ПК абонента ?   Как показала практика, экономят абсолютно на всем....

Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, VolanD666 сказал:

Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный

у нас такая проблема была, все решилось заменой стандартного пароля, ну и прошивку смените, у нас сейчас 2.1.12

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.