Незапрошенный траффик (флуд)

[3dfx]

Доброе время суток!

 

Думал никогда не сталкнусь, но пришлось:

 

Принесли вчера счёт за интернет, за март на 150ГБ, что по тарифам юриков достаточно дорого. Начал разбираться, снял отчёты с ISA сервера, там 12.4ГБ. Позвонил провайдеру (небуду пока называть, крупный московский провайдер), они попинали по разным службам, сошлись на том что надо посылать им "претензионное" письмо. Сегодня его составили, указали предыдущие периоды, средний расход траффика и свели с одну таблицу их и наши подсчёты по предыдущим месяцам, они сошлись достаточно точно. В момент начала "флуда" я был как раз в отпуске, м.б. поэтому он небыл замечен. Сегодня промониторил отклонённые пакеты на ISA, выяснилось что с некорого IP (немогу сейчас привести его, т.к. не помню) идёт портскан на наш сервер, т.е. на один порт по многу раз (разное кол-во несколько десятков) за минуту примерно 100-120 запросов. Пакеты дропятся, и в траффик у нас не считаются, т.к. реально никем не потреблён.

 

Теперь принимаю советы по дальнейшим действиям, как со стороны борьбы с подобными неприятностями, так и с юридической стороны - кто виноват и что делать? Более подробную тех. информацию могу предоставить завтра.

 

На вопросс почему вовремя не отреагировал - у меня на сервере этот траффик не учтён т.к. пакеты дропнуты, и пока не был получен счёт от провайдера о перерасходе было неизвестно. Некоторое торможение интернета присутствовало, но ввиду подключения через радиоканал тормоза были списаны на него.

 

Поиском по форуму сейчас занимаюсь, если у кого есть готовые ссылки на похожие темы почитаю с удовольствием.

[GateKeeper]

Что делать? Включать SNMP, снимающий данные непосредственно с интерфейса, а не с внутреннего периметра стэка, привинчивать каунтеры трафика по СНМП и больше не делать круглых глаз при виде счета.

 

Юристам поручить тщательное изучение договора, при любой зацепке - пункт в претензионное письмо. Если зацепок в итоге ровно ноль - бежать к провайдеру договариваться "мирными" способами.

[Barcha]

Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил.

[cae]

Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил.

Кто заплатил? Крупный московский провайдер? Он полосу купил, и эти 12Г в этой полосе потерялись. В эпсилон-окрестности. Если он, конечно, крупный, а не "крупный" ;-)

Поэтому правильный вариант - беседовать с менеджером контракта и просить списать этот трафик.

Если контора платила аккуратно и регулярно, они на это шли даже в эпоху бумов подглючений, а уж сейчас-то...

На будущее ставить lancelot, cricket, cacti, torrus или "кого-то из той же династии", крутить алармы и ставить пороги срабатывания. Админу в почту или смс или как удобнее. Потому что сегодня может быть 12Г, а завтра 300.

[3dfx]

Что делать? Включать SNMP, снимающий данные непосредственно с интерфейса, а не с внутреннего периметра стэка, привинчивать каунтеры трафика по СНМП и больше не делать круглых глаз при виде счета.

 

Юристам поручить тщательное изучение договора, при любой зацепке - пункт в претензионное письмо. Если зацепок в итоге ровно ноль - бежать к провайдеру договариваться "мирными" способами.

А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут.

 

Меня интересует практика, я нашёл пару случаев на этом форуме. И советы как лучше общаться с провайдером.

 

Ширина канала 3МБит/с.

Как обещал даю IP:

84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту.

 

Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными.

62.118.79.133

64.12.164.75

64.12.31.252

74.125.39.91

74.125.39.93

87.248.212.75

87.250.251.63

87.250.251.11

88.212.221.166 - повторяется в течении дня

90.156.153.107

93.191.13.100

93.158.134.190

94.100.178.230 - повторяется в течении дня

194.67.23.153

194.67.52.35

194.67.57.21

194.186.55.40

205.188.253.6

205.188.253.4

 

Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы.

[roling]

Ну во первых надо смотреть чей тот IP с которого портсканят - вашего провайдера или чужой? Если провайдера , то ему же письмо с просьбой разобраться и устранить, если IP чужой, то опять таки можно попытаться найти крайнего (если он конечно не за бугром).

Это если административно- бумажные методы.

[3dfx]

Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил.

Согласен.

 

Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил.

Кто заплатил? Крупный московский провайдер? Он полосу купил, и эти 12Г в этой полосе потерялись. В эпсилон-окрестности. Если он, конечно, крупный, а не "крупный" ;-)

Поэтому правильный вариант - беседовать с менеджером контракта и просить списать этот трафик.

Если контора платила аккуратно и регулярно, они на это шли даже в эпоху бумов подглючений, а уж сейчас-то...

На будущее ставить lancelot, cricket, cacti, torrus или "кого-то из той же династии", крутить алармы и ставить пороги срабатывания. Админу в почту или смс или как удобнее. Потому что сегодня может быть 12Г, а завтра 300.

Скажем что он крупнейший :) как для юкиков так и для физиков. И не 12гиг а 150 :)

12 мы потребили лично, а остальное нам влили.

 

Ну естейственно что буду алармы теперь крутить.

Edited April 8, 2009 by 3dfx

[cae]

Скажем что он крупнейший :) как для юкиков так и для физиков. И не 12гиг а 150 :)

Ну для крупнейшего 150 - как слону дробина, они уже, эти крупнейшие, петабайтами меряются, что уж там 150... четверть-E1 в полку, фигня-с...

Толцыте менеджера. И отверзется.

Кстати, есть шансы, что у крупнейшего есть что-то типа Arbor+Cisco Guard, могущие защищать страждущих от DoS, DDoS и прочего невкусного. Это следует провентилировать с менеджером, опять же, узнать процедуру, как этими вкусностями пользоваться в случае наступления часа Ч. На постоянной основе включать сие, конечно, некошерно, но в момент атаки полезность гораздо выше нуля. А процедуру включения отсева по вашему обращению можно описать. Пока услуга ещё не массова, и положения о ней ещё не все написали ;-) но она уже на рынке есть. И востребована, прямо скажем. Если же у крупнейшего, паче моего чаяния, такой услуги нету, то следует аккуратно поспрашивать окрестности, потому у двух такая услуга имеется.

Разумеется, включение такой фильтрации не отменяет собственного наблюдения за своей стороной ;-))

[ЯНимагу]

Ширина канала 3МБит/с.

Как обещал даю IP:

84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту.

 

Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными.

... skipped ip addr.

 

Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы.

А вот мне знакомы :)

 

84.53.173.144 - Акамаи

В списке есть мои ip-адреса.

 

Что-то мне кажется смешной ситуация, когда Акамаи начинает фладить адрес российкого юрлица :)

 

Давайте уж свой айпи, буду смотреть в Цыску.

[John_obn]

Как обещал даю IP:

84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту.

 

Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными.

.......

Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы.

84.53.173.144 - принадлежит Akamai Technologies. На их серверах хранится контент крупных производителей софта, тяжелый контент сайтов и т.п. В частности, там также располагаются обновления для ПО Adboe, Microsoft и т.п. У многих наших юриков и физиков иногда встречается подобная ситуация - мегабайты или гигабайты трафика, который "они не качали". Чаще всего это оказывались обновления Adobe. Такая ситуация, предположительно, получается следующим образом: компьютер, где установлено ПО от Adobe, лезет на сервер обновлений Adobe, а тот в свою очередь инициирует соединение от сервера Akamai. И все что оттуда идет - тупо дропается Вашей машиной с ISA, ибо незапрошенный трафик. А дело провайдера - доставить трафик до получателя.

 

По поводу остальных IP, уж как то несильно похоже, что это какой то DDoS. А по объемам можете сказать откуда больше всего было принято (дропнуто)?

Особенно интересны ip 64.12.164.75 , 64.12.31.252 , 205.188.253.6 , 205.188.253.4 . Remote port случаем не 5190 ?

Провайдер в таком случае и не особо может пойти на встречу, если это явно не DDoS, либо на первый раз списать трафик, либо отпустить его по льготной цене.

[ЯНимагу]

Теперь принимаю советы по дальнейшим действиям

1. Оплатить счет оператора.

2. Изменить тарифный план на безлимитный (если денег мало, то достаточно 64 кбит)

3. Принять на работу сисадмина.

 

:)

[GateKeeper]

А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут.

После этих слов абсолютно согласен с п.3 предыдущего поста.

[Stak]

А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут.

Вы неправы. Полоса тоже не резиновая, и как правило с оверсабскрипшн. Соответственно трафик, дошедший до вашего файрвола эту полосу нагрузил, а провайдер её оплатил. А для вас лучший выход - попытаться договориться. И перейти на безлимит. Ибо не в последний раз...

[bearchik]

А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут.

если с телефонией уж сравнивать, тогда тут другое

вы позвонили бабушке в Зимбабве на ранчо рядом с Хараре, а у нее АОН, АОН поднял трубку и выдает вам гудки(бабушка уехала афроафриканцев пасти на алмазных копях) - тоже самое, разговора нет, а нагрузку на линию вы создаете...

Edited April 8, 2009 by bearchik

[Ivan_83]

Перейти на безлимит и не парится.

В мск с этим проблем быть не должно, и по деньгам темболее.

 

Либо выпрашивайте серый IP у провайдера либо чтобы он перекрыл вам входящий со внешки.

 

В ИСА настраиваются алерты, курите глубже, там достаточно подобных настроек, и действия разные прикручиваются.

Только толку вам с этого НУЛЬ!

Да и смысл вообще в этих алертах, когда реально кроме отключения канала вы ничего сделать не можете.

 

Провайдер вам данные передал, а чё вы с ними сделали - ваша проблема.

Также как водоканал вам воду по трубе поставил, а выпили вы её, бутелировали и продали или спустили в канализацию - дело ваше, но воду вы получили.

[3dfx]

Как обещал даю IP:

84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту.

 

Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными.

.......

Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы.

84.53.173.144 - принадлежит Akamai Technologies. На их серверах хранится контент крупных производителей софта, тяжелый контент сайтов и т.п. В частности, там также располагаются обновления для ПО Adboe, Microsoft и т.п. У многих наших юриков и физиков иногда встречается подобная ситуация - мегабайты или гигабайты трафика, который "они не качали". Чаще всего это оказывались обновления Adobe. Такая ситуация, предположительно, получается следующим образом: компьютер, где установлено ПО от Adobe, лезет на сервер обновлений Adobe, а тот в свою очередь инициирует соединение от сервера Akamai. И все что оттуда идет - тупо дропается Вашей машиной с ISA, ибо незапрошенный трафик. А дело провайдера - доставить трафик до получателя.

 

По поводу остальных IP, уж как то несильно похоже, что это какой то DDoS. А по объемам можете сказать откуда больше всего было принято (дропнуто)?

Особенно интересны ip 64.12.164.75 , 64.12.31.252 , 205.188.253.6 , 205.188.253.4 . Remote port случаем не 5190 ?

Провайдер в таком случае и не особо может пойти на встречу, если это явно не DDoS, либо на первый раз списать трафик, либо отпустить его по льготной цене.

64.12.164.75:1030 UDP

64.12.31.252:3478 UDP

205.188.253.6:80 TCP

205.188.253.4:80 TCP

 

Ширина канала 3МБит/с.

Как обещал даю IP:

84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту.

 

Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными.

... skipped ip addr.

 

Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы.

А вот мне знакомы :)

 

84.53.173.144 - Акамаи

В списке есть мои ip-адреса.

 

Что-то мне кажется смешной ситуация, когда Акамаи начинает фладить адрес российкого юрлица :)

 

Давайте уж свой айпи, буду смотреть в Цыску.

Отписал в ПС.

 

 

И ещё попрошу не советовать нанять админа, а помочь разобраться в ситуации. Или все сразу умными родились?

Если я каких то вещей незнаю или не понимаю, объясните - буду знать.

[woddy]

64.12.164.75:1030 UDP

64.12.31.252:3478 UDP

205.188.253.6:80 TCP

205.188.253.4:80 TCP

это АОЛ. в этом диапазоне живут сервера ICQ. может кто-то по аське файло крупное кидает?

[3dfx]

64.12.164.75:1030 UDP

64.12.31.252:3478 UDP

205.188.253.6:80 TCP

205.188.253.4:80 TCP

это АОЛ. в этом диапазоне живут сервера ICQ. может кто-то по аське файло крупное кидает?

У меня в отчёте ИСЫ это не отображается.

[woddy]

а может вас использовали как прокси для брута номерков?

какойнибудь приватный троян спокойно живет на сервере.

 

ЗЫ 5190 - не критерий. на 80 и 443 замечательно можно цепляться.

 

94.100.178.230 - счетчики мейл.ру. может накрутка через того же трояна

[woddy]

продолжаем копать

 

C:\Documents and Settings\woddy>nslookup static.terrhq.ru

Non-authoritative answer:

Name: static.terrhq.ru

Address: 88.212.221.166

 

сервер со счетчиками. видимо тоже накрутка

 

 

 

93.191.13.100 updates.pis.parallels.com

какая-то антивирусная хрень

 

nslookup liveupdate.symantec.com

Non-authoritative answer:

Name: a568.d.akamai.net

Addresses: 84.53.173.91, 84.53.173.105, 84.53.173.106, 84.53.173.114

84.53.173.115, 84.53.173.144

Aliases: liveupdate.symantec.com, liveupdate.symantec.d4p.net

symantec.georedirector.akadns.net

тоже

[woddy]

87.250.251.11 - yandex.ru [87.250.251.11]

 

[3dfx]

а может вас использовали как прокси для брута номерков?

какойнибудь приватный троян спокойно живет на сервере.

 

ЗЫ 5190 - не критерий. на 80 и 443 замечательно можно цепляться.

 

94.100.178.230 - счетчики мейл.ру. может накрутка через того же трояна

Опять же почему не видно трафика в отчётах?

[xbb]

Опять же почему не видно трафика в отчётах?

ISA для подсчет трафика не годится. В отчетах будет присутствовать только трафик прошедший через нее, к тому же очищенный от заголовков IP, а то, что отреджектила ISA в отчеты не попадает. Насчет троянов сервер проверили? Если сидит, то очень вероятно, что трафик даже в ISA не попадает, а принимается и уходит с интерфейса, что смотрит во внешний мир.

[3dfx]

Опять же почему не видно трафика в отчётах?

ISA для подсчет трафика не годится. В отчетах будет присутствовать только трафик прошедший через нее, к тому же очищенный от заголовков IP, а то, что отреджектила ISA в отчеты не попадает. Насчет троянов сервер проверили? Если сидит, то очень вероятно, что трафик даже в ISA не попадает, а принимается и уходит с интерфейса, что смотрит во внешний мир.

Проверил, нет там ничего. Как поумнее считать траффик на интерфейсе с полным логгированием? Поставить в разрыв чтото "прозрачное"?

 

Может бывают какие нибудь железки отчёты с которых можно использовать как доказательство? Посоветуйте что нибудь простое и надёжное.

[neyros]

Проверил, нет там ничего. Как поумнее считать траффик на интерфейсе с полным логгированием? Поставить в разрыв чтото "прозрачное"?

 

Может бывают какие нибудь железки отчёты с которых можно использовать как доказательство? Посоветуйте что нибудь простое и надёжное.

Любой управляемый свитч L2, понимающий SNMP.