[stas_k]

Да, но не как мишень. Источником был обычный видеорегистратор клиента, уложил его канал в полку.

Есть какие ни будь подробности по этому видеорегистратору?

 

фирма, марка, модель, версия ПО?

[FIGO]

st_re Нам просто больше не залезло, сегодня попробую узнать у нашего аплинка сколько им прилетело

 

 

 

Как можно бороться с такой атакой? Видится только один выход, убирать атакуемые адреса из анонса, либо ждать пока закончится. Так же можно писать письма хозяевам ntp серверов чтобы запретили запросы статистики

[YuryD]

Да, но не как мишень. Источником был обычный видеорегистратор клиента, уложил его канал в полку.

Есть какие ни будь подробности по этому видеорегистратору?

 

фирма, марка, модель, версия ПО?

http://forum.nag.ru/forum/index.php?showtopic=92563

[st_re]

Как можно бороться с такой атакой? Видится только один выход, убирать атакуемые адреса из анонса, либо ждать пока закончится. Так же можно писать письма хозяевам ntp серверов чтобы запретили запросы статистики

 

Наверное только блекхолом у аплинка или выше.

 

В первые волны абузы слали более чем массово. отправить абузу надо, но чтото мне подсказывает что все вменяемые абузочитатели их уже получили и починили... чем дальше тем меньше будет шансов что там починят.

[FIGO]

st_re А что отправить в блекхол? Лился Udp трафик с кучи разных адресов на 80 порт. До тех пор пока в сеть анонсируются эти адреса трафик будет идти в сторону с которой идет анонс.

 

Сегодня пришли письма от NFOservers.com

 

You appear to be running an open recursive resolver at IP address ХХ.ХХ.ХХ.ХХ that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size

как совпало то))))

[st_re]

st_re А что отправить в блекхол? Лился Udp трафик с кучи разных адресов на 80 порт. До тех пор пока в сеть анонсируются эти адреса трафик будет идти в сторону с которой идет анонс.

 

Сегодня пришли письма от NFOservers.com

 

You appear to be running an open recursive resolver at IP address ХХ.ХХ.ХХ.ХХ that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size

как совпало то))))

 

 

стоп. мы покупаем или продаем ? запросы идут на хосты в инете и ответы валятся вам или запросы идут к вашим серверам/клиентам и ответы валят на бедную жертву ?

[FIGO]

st_re Основная проблема в том что валилось нам. Позже пришли письма о том, что и наши вдреса участвовали в какой то атаке. Но там по времени разница, между атакой на нас и той в которой участвовали наши адреса.

Изменено 22 мая, 2014 пользователем FIGO

[st_re]

если вам и на какойто конкретный IP то его блекхолить, чтобы до вас не долетало.. ну и ждать пока ребята наиграются и отстанут.

 

Вообще на входе и выходе фильтровать UDP пакеты на 123 порт длиннее 100 байт или короче 40 байт, а также любой длины с портов ниже 1024 (точнее 1-122,124-1023, 123<->123 легитимный трафик при нормальной длине. )

 

ну типа как тут, с поправкой на используемый фаервол

http://forum.nag.ru/forum/index.php?showtopic=92564&view=findpost&p=938072

[FIGO]

st_re Трафик шел на 80 порт. А запрос на 123 порт могли сделать не из нашей сети. В общем мы подождать пока наиграются )))

Изменено 22 мая, 2014 пользователем FIGO

[st_re]

st_re Трафик шел на 80 порт. А запрос на 123 порт могли сделать не из нашей сети. В общем мы подождать пока наиграются )))

ну да трафик с 123 с неположенной длиной и с 123 на 1-122,124-1023 тоже конечно рубить. А запросы они естественно шлют с поломанных машин где то в другой точке планеты

[FIGO]

st_re Ну допустим я закрою, но ведь это море трафика до места где я закрываю доходить то все равно будет. У нас есть еще один выход в мир с очень маленьким каналом. В момент атаки можно кусочек сети в которой находится атакуемый хост отправить в анонс оттуда, с тем объемом то мы справимся, правда аплинк будет озадачен)

[Sonne]

У меня на некоторых CPE шках, открытых во внешний мир с помощью 1:1 трансляции начались проблемы с DNS.

 

Сначала прирезал входящий 53 порт, однако увидел что запросы идут изнутри

 

Вот примеры серверов

 

198.27.108.16, 17, 18 среди них проскакивают изредка всякие другие

 

Смущают 3 вещи -

 

1) наши CPE работают через NAT

2) совершенно различные пользователи с разными интересами долбят одну группу серверов

3) Если убираю 1:1 внешний нат, то все исчезает

 

Таки возможно что сломали СPE или используют дыру в DNS.

Подскажите где почитать про последние атаки и утилиту или сервис, которыми можно проверить устойчивость CPE.

 

UPDATE - неправильно сделал фильтр на входящий трафик из-за особенностей dst-nat. Когда прирезал все полностью, то стало видно, что когда нет входящего трафика, то CPE молчат.

 

Стало быть банальная попытка DNS Amplifier атак, долбят каких то китаезов. Непонятно какой смысл долбить CPE, на которых даже порт 53 не открыт.

 

Тем не менее вопрос как проверить дырявость DNS на CPE остается в силе!

 

UPDATE2

Тупо навел nslookup на CPE - он выдал ответ. Это пипец товарищи! Nmap дырку не видит, а nslookup работает. Вот и верь после этого людям.

[remos]

У меня на некоторых CPE шках, открытых во внешний мир с помощью 1:1 трансляции начались проблемы с DNS.

 

Сначала прирезал входящий 53 порт, однако увидел что запросы идут изнутри

 

Вот примеры серверов

 

198.27.108.16, 17, 18 среди них проскакивают изредка всякие другие

 

Смущают 3 вещи -

 

1) наши CPE работают через NAT

2) совершенно различные пользователи с разными интересами долбят одну группу серверов

3) Если убираю 1:1 внешний нат, то все исчезает

 

Таки возможно что сломали СPE или используют дыру в DNS.

Подскажите где почитать про последние атаки и утилиту или сервис, которыми можно проверить устойчивость CPE.

 

UPDATE - неправильно сделал фильтр на входящий трафик из-за особенностей dst-nat. Когда прирезал все полностью, то стало видно, что когда нет входящего трафика, то CPE молчат.

 

Стало быть банальная попытка DNS Amplifier атак, долбят каких то китаезов. Непонятно какой смысл долбить CPE, на которых даже порт 53 не открыт.

 

Тем не менее вопрос как проверить дырявость DNS на CPE остается в силе!

 

UPDATE2

Тупо навел nslookup на CPE - он выдал ответ. Это пипец товарищи! Nmap дырку не видит, а nslookup работает. Вот и верь после этого людям.

 

Хотел Вам отписать но вы и сами уже справились :)

 

Я бы не сказал что это дырявый DNS на cpe...эту бодягу я наблюдаю уже неделю, красивого решения не нашел...

 

Cкорей всего у вас тоже долбят зоны типа .*\.zrm\.chinaccn\.net

Могу предположить что забивают память cpe + время cpu на обработку списка

Изменено 5 июня, 2014 пользователем remos

[agr]

Тупо навел nslookup на CPE - он выдал ответ. Это пипец товарищи! Nmap дырку не видит, а nslookup работает. Вот и верь после этого людям.

 

nmap вестимо запускался без service version scan.

[YuryD]

Я бы не сказал что это дырявый DNS на cpe...эту бодягу я наблюдаю уже неделю, красивого решения не нашел...

 

Да cpe с реальником , прямо сейчас борюсь. Огромный исходящий udp/53 на кучу серверов udp/80

 

За 15 минут вот картинка кривого блокирования. Более красивого решения не нашел..

 

00006 12698 18907311 deny udp from client_ip to any dst-port 80

00006 814235 59438533 deny udp from any 80 to client_ip

[boco]

Тем не менее вопрос как проверить дырявость DNS на CPE остается в силе!

nmap -oN dnsscan.log -script=dns-recursion -Pn -sU -p53 -iL /path/to/cidrlist.txt

 

что касается блокирования - пока вполне устраивает конструкция типа:

 

deny udp from any not 123 to any 123 out xmit $client_iface

deny udp from any not 53 to any 53 out xmit $client_iface

 

client_iface - то, чо смотрит в сторону клиентов. например, "ng*"

[alexvirtual]

Привет всем!

Извиняюсь конечно что опять поднимаю прошлые темы! Но есть у меня такая проблемка

На мои кеширующие DNS сервера валиться флуд.

В гачестве ДНС использую сервис unbound, а в качестве защиты стоит ipfw, также ng + bpf фильтрует тип any

Как то утром прихожу на работу, и вижу в мониторинге nagios с днс серверов возрос трафик на отдачу в разы, даже очень заитересовало откуда он летиит, в основном это из китая.

Tcpdump -ом снимаю трафик и от моих же абонентов по udp валиться такая вот ерунда --

 

tcpdump -s 4096 -vvvvnXXi em1

 

ubqzehuz.www5.0730ce.com

ehappyiwcst.ly01.8agu.com

 

При том при всем, сколько - бы, я их не закрывал каждый день появляются новые и новые!

Что с этим делать тоже не понятно!

Хотелось бы по итересоваться може кто, как решал такие проблемы!? Хотелось бы адекватное решение чтобы на абонентов это не сказывалось.

В данный момент в ipfw построил правил основанно на limit, что не есть гуд! :)

[stas_k]

Как то утром прихожу на работу, и вижу в мониторинге nagios с днс серверов возрос трафик на отдачу в разы, даже очень заитересовало откуда он летиит, в основном это из китая.

Tcpdump -ом снимаю трафик и от моих же абонентов

При том при всем, сколько - бы, я их не закрывал каждый день появляются новые и новые!

Что с этим делать тоже не понятно!

 

Хотелось бы адекватное решение чтобы на абонентов это не сказывалось.

В данный момент в ipfw построил правил основанно на limit, что не есть гуд! :)

Твои абоненты вступили в ботнет.

 

Ход мысли правильный - при превышении лимита подсовывай им редирект на локальный сайт на nginx со статической html страничкой с логотипом дрвеб антивирусных компаний и настойчивым предложением установить\обновится по причине нового неведомого вируса, который касперским пиратскими бесплатными антиврусами не ловится и не лечится.

[snvoronkov]

Свеженькие атаки (нашел за последнюю неделю). Один какой-то странный толи DDoS, толи скан.

 

1) В течение секунды прилетает на хост по 2-10 пакетов с примерно 100 разных хостов. Что ЭТО? Зачем ЭТО?

 

2) Комп физика полночи сканировал проксик запросами вида "CONNECT http://localhost:[0-9]+/". Логично, что ничего не нашел.

Убило, что правило на закрытие запросов на 127.0.0.1 в свежих squid-ах не работает больше.

[karpa13a]

а ч то за активность резкая появилась брутеров по ссх в последние два-три дня?

друпал или вордпрес ломанули?

[stas_k]

Друпал больше месяца как ломанули. видимо в паблик вышло.

[vIv]

А при чём тут ssh?

[karpa13a]

vIv брутфорсят сервера.

[stas_k]

Я какой то особенно активности не вижу. как всегда перед рождеством/новым годом активизировались спамеры, ищут площадки для рассылки сезонного спама.

Общий фон конечно подрос, видимо в рамках санкций и кибервойны. Но скорее я связываю с большим числом девайсов с интернетом и соответственно зараженных хостов больше, за счет смартфонов, планшетов, телевизоров и всяких маршрутизаторов с IP камерами.

А использовать ботнет для брутфорса, DDoS или для рассылки спама уже вопрос коньюктуры.

[karpa13a]

stas_k у меня письма от одного из потов про добавление новых брутеров просто вваливают просто эпично.

если раньше 5-10 хостов в сутки, то за вчера уже 200