stas_k Опубликовано 21 мая, 2014 · Жалоба Да, но не как мишень. Источником был обычный видеорегистратор клиента, уложил его канал в полку. Есть какие ни будь подробности по этому видеорегистратору? фирма, марка, модель, версия ПО? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 21 мая, 2014 · Жалоба st_re Нам просто больше не залезло, сегодня попробую узнать у нашего аплинка сколько им прилетело Как можно бороться с такой атакой? Видится только один выход, убирать атакуемые адреса из анонса, либо ждать пока закончится. Так же можно писать письма хозяевам ntp серверов чтобы запретили запросы статистики Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 21 мая, 2014 · Жалоба Да, но не как мишень. Источником был обычный видеорегистратор клиента, уложил его канал в полку. Есть какие ни будь подробности по этому видеорегистратору? фирма, марка, модель, версия ПО? http://forum.nag.ru/forum/index.php?showtopic=92563 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 21 мая, 2014 · Жалоба Как можно бороться с такой атакой? Видится только один выход, убирать атакуемые адреса из анонса, либо ждать пока закончится. Так же можно писать письма хозяевам ntp серверов чтобы запретили запросы статистики Наверное только блекхолом у аплинка или выше. В первые волны абузы слали более чем массово. отправить абузу надо, но чтото мне подсказывает что все вменяемые абузочитатели их уже получили и починили... чем дальше тем меньше будет шансов что там починят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 21 мая, 2014 · Жалоба st_re А что отправить в блекхол? Лился Udp трафик с кучи разных адресов на 80 порт. До тех пор пока в сеть анонсируются эти адреса трафик будет идти в сторону с которой идет анонс. Сегодня пришли письма от NFOservers.com You appear to be running an open recursive resolver at IP address ХХ.ХХ.ХХ.ХХ that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size как совпало то)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 21 мая, 2014 · Жалоба st_re А что отправить в блекхол? Лился Udp трафик с кучи разных адресов на 80 порт. До тех пор пока в сеть анонсируются эти адреса трафик будет идти в сторону с которой идет анонс. Сегодня пришли письма от NFOservers.com You appear to be running an open recursive resolver at IP address ХХ.ХХ.ХХ.ХХ that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size как совпало то)))) стоп. мы покупаем или продаем ? запросы идут на хосты в инете и ответы валятся вам или запросы идут к вашим серверам/клиентам и ответы валят на бедную жертву ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 22 мая, 2014 (изменено) · Жалоба st_re Основная проблема в том что валилось нам. Позже пришли письма о том, что и наши вдреса участвовали в какой то атаке. Но там по времени разница, между атакой на нас и той в которой участвовали наши адреса. Изменено 22 мая, 2014 пользователем FIGO Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 мая, 2014 · Жалоба если вам и на какойто конкретный IP то его блекхолить, чтобы до вас не долетало.. ну и ждать пока ребята наиграются и отстанут. Вообще на входе и выходе фильтровать UDP пакеты на 123 порт длиннее 100 байт или короче 40 байт, а также любой длины с портов ниже 1024 (точнее 1-122,124-1023, 123<->123 легитимный трафик при нормальной длине. ) ну типа как тут, с поправкой на используемый фаервол http://forum.nag.ru/forum/index.php?showtopic=92564&view=findpost&p=938072 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 22 мая, 2014 (изменено) · Жалоба st_re Трафик шел на 80 порт. А запрос на 123 порт могли сделать не из нашей сети. В общем мы подождать пока наиграются ))) Изменено 22 мая, 2014 пользователем FIGO Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 мая, 2014 · Жалоба st_re Трафик шел на 80 порт. А запрос на 123 порт могли сделать не из нашей сети. В общем мы подождать пока наиграются ))) ну да трафик с 123 с неположенной длиной и с 123 на 1-122,124-1023 тоже конечно рубить. А запросы они естественно шлют с поломанных машин где то в другой точке планеты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 22 мая, 2014 · Жалоба st_re Ну допустим я закрою, но ведь это море трафика до места где я закрываю доходить то все равно будет. У нас есть еще один выход в мир с очень маленьким каналом. В момент атаки можно кусочек сети в которой находится атакуемый хост отправить в анонс оттуда, с тем объемом то мы справимся, правда аплинк будет озадачен) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 5 июня, 2014 · Жалоба У меня на некоторых CPE шках, открытых во внешний мир с помощью 1:1 трансляции начались проблемы с DNS. Сначала прирезал входящий 53 порт, однако увидел что запросы идут изнутри Вот примеры серверов 198.27.108.16, 17, 18 среди них проскакивают изредка всякие другие Смущают 3 вещи - 1) наши CPE работают через NAT 2) совершенно различные пользователи с разными интересами долбят одну группу серверов 3) Если убираю 1:1 внешний нат, то все исчезает Таки возможно что сломали СPE или используют дыру в DNS. Подскажите где почитать про последние атаки и утилиту или сервис, которыми можно проверить устойчивость CPE. UPDATE - неправильно сделал фильтр на входящий трафик из-за особенностей dst-nat. Когда прирезал все полностью, то стало видно, что когда нет входящего трафика, то CPE молчат. Стало быть банальная попытка DNS Amplifier атак, долбят каких то китаезов. Непонятно какой смысл долбить CPE, на которых даже порт 53 не открыт. Тем не менее вопрос как проверить дырявость DNS на CPE остается в силе! UPDATE2 Тупо навел nslookup на CPE - он выдал ответ. Это пипец товарищи! Nmap дырку не видит, а nslookup работает. Вот и верь после этого людям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 5 июня, 2014 (изменено) · Жалоба У меня на некоторых CPE шках, открытых во внешний мир с помощью 1:1 трансляции начались проблемы с DNS. Сначала прирезал входящий 53 порт, однако увидел что запросы идут изнутри Вот примеры серверов 198.27.108.16, 17, 18 среди них проскакивают изредка всякие другие Смущают 3 вещи - 1) наши CPE работают через NAT 2) совершенно различные пользователи с разными интересами долбят одну группу серверов 3) Если убираю 1:1 внешний нат, то все исчезает Таки возможно что сломали СPE или используют дыру в DNS. Подскажите где почитать про последние атаки и утилиту или сервис, которыми можно проверить устойчивость CPE. UPDATE - неправильно сделал фильтр на входящий трафик из-за особенностей dst-nat. Когда прирезал все полностью, то стало видно, что когда нет входящего трафика, то CPE молчат. Стало быть банальная попытка DNS Amplifier атак, долбят каких то китаезов. Непонятно какой смысл долбить CPE, на которых даже порт 53 не открыт. Тем не менее вопрос как проверить дырявость DNS на CPE остается в силе! UPDATE2 Тупо навел nslookup на CPE - он выдал ответ. Это пипец товарищи! Nmap дырку не видит, а nslookup работает. Вот и верь после этого людям. Хотел Вам отписать но вы и сами уже справились :) Я бы не сказал что это дырявый DNS на cpe...эту бодягу я наблюдаю уже неделю, красивого решения не нашел... Cкорей всего у вас тоже долбят зоны типа .*\.zrm\.chinaccn\.net Могу предположить что забивают память cpe + время cpu на обработку списка Изменено 5 июня, 2014 пользователем remos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 5 июня, 2014 · Жалоба Тупо навел nslookup на CPE - он выдал ответ. Это пипец товарищи! Nmap дырку не видит, а nslookup работает. Вот и верь после этого людям. nmap вестимо запускался без service version scan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 июня, 2014 · Жалоба Я бы не сказал что это дырявый DNS на cpe...эту бодягу я наблюдаю уже неделю, красивого решения не нашел... Да cpe с реальником , прямо сейчас борюсь. Огромный исходящий udp/53 на кучу серверов udp/80 За 15 минут вот картинка кривого блокирования. Более красивого решения не нашел.. 00006 12698 18907311 deny udp from client_ip to any dst-port 80 00006 814235 59438533 deny udp from any 80 to client_ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 6 июня, 2014 · Жалоба Тем не менее вопрос как проверить дырявость DNS на CPE остается в силе! nmap -oN dnsscan.log -script=dns-recursion -Pn -sU -p53 -iL /path/to/cidrlist.txt что касается блокирования - пока вполне устраивает конструкция типа: deny udp from any not 123 to any 123 out xmit $client_iface deny udp from any not 53 to any 53 out xmit $client_iface client_iface - то, чо смотрит в сторону клиентов. например, "ng*" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexvirtual Опубликовано 22 июля, 2014 · Жалоба Привет всем! Извиняюсь конечно что опять поднимаю прошлые темы! Но есть у меня такая проблемка На мои кеширующие DNS сервера валиться флуд. В гачестве ДНС использую сервис unbound, а в качестве защиты стоит ipfw, также ng + bpf фильтрует тип any Как то утром прихожу на работу, и вижу в мониторинге nagios с днс серверов возрос трафик на отдачу в разы, даже очень заитересовало откуда он летиит, в основном это из китая. Tcpdump -ом снимаю трафик и от моих же абонентов по udp валиться такая вот ерунда -- tcpdump -s 4096 -vvvvnXXi em1 ubqzehuz.www5.0730ce.com ehappyiwcst.ly01.8agu.com При том при всем, сколько - бы, я их не закрывал каждый день появляются новые и новые! Что с этим делать тоже не понятно! Хотелось бы по итересоваться може кто, как решал такие проблемы!? Хотелось бы адекватное решение чтобы на абонентов это не сказывалось. В данный момент в ipfw построил правил основанно на limit, что не есть гуд! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 22 июля, 2014 · Жалоба Как то утром прихожу на работу, и вижу в мониторинге nagios с днс серверов возрос трафик на отдачу в разы, даже очень заитересовало откуда он летиит, в основном это из китая. Tcpdump -ом снимаю трафик и от моих же абонентов При том при всем, сколько - бы, я их не закрывал каждый день появляются новые и новые! Что с этим делать тоже не понятно! Хотелось бы адекватное решение чтобы на абонентов это не сказывалось. В данный момент в ipfw построил правил основанно на limit, что не есть гуд! :) Твои абоненты вступили в ботнет. Ход мысли правильный - при превышении лимита подсовывай им редирект на локальный сайт на nginx со статической html страничкой с логотипом дрвеб антивирусных компаний и настойчивым предложением установить\обновится по причине нового неведомого вируса, который касперским пиратскими бесплатными антиврусами не ловится и не лечится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 1 ноября, 2014 · Жалоба Свеженькие атаки (нашел за последнюю неделю). Один какой-то странный толи DDoS, толи скан. 1) В течение секунды прилетает на хост по 2-10 пакетов с примерно 100 разных хостов. Что ЭТО? Зачем ЭТО? 2) Комп физика полночи сканировал проксик запросами вида "CONNECT http://localhost:[0-9]+/". Логично, что ничего не нашел. Убило, что правило на закрытие запросов на 127.0.0.1 в свежих squid-ах не работает больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 10 декабря, 2014 · Жалоба а ч то за активность резкая появилась брутеров по ссх в последние два-три дня? друпал или вордпрес ломанули? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 10 декабря, 2014 · Жалоба Друпал больше месяца как ломанули. видимо в паблик вышло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 10 декабря, 2014 · Жалоба А при чём тут ssh? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 10 декабря, 2014 · Жалоба vIv брутфорсят сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 10 декабря, 2014 · Жалоба Я какой то особенно активности не вижу. как всегда перед рождеством/новым годом активизировались спамеры, ищут площадки для рассылки сезонного спама. Общий фон конечно подрос, видимо в рамках санкций и кибервойны. Но скорее я связываю с большим числом девайсов с интернетом и соответственно зараженных хостов больше, за счет смартфонов, планшетов, телевизоров и всяких маршрутизаторов с IP камерами. А использовать ботнет для брутфорса, DDoS или для рассылки спама уже вопрос коньюктуры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 10 декабря, 2014 · Жалоба stas_k у меня письма от одного из потов про добавление новых брутеров просто вваливают просто эпично. если раньше 5-10 хостов в сутки, то за вчера уже 200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...