Jump to content
Калькуляторы

Ботнет - ICMP flood на адрес 174.37.193.198

Коллеги! Будьте внимательны.

 

Выловил тут очередную заразу, флуд на IP 174.37.193.198

Сыпет на скорости интерфейса icmp траффик с рандомным types

 

пример:

16:43:06.008055 IP 10.0.211.70 > 174.37.193.198: ICMP type-#98, length 1032
16:43:06.008168 IP 10.0.211.70 > 174.37.193.198: ICMP router advertisement lifetime 4:16 84: [size 0], length 1032
16:43:06.008305 IP 10.0.211.70 > 174.37.193.198: ICMP type-#68, length 1032
16:43:06.008383 IP 10.0.211.70 > 174.37.193.198: ICMP type-#34, length 1032
16:43:06.008714 IP 10.0.211.70 > 174.37.193.198: ICMP type-#183, length 1032
16:43:06.008831 IP 10.0.211.70 > 174.37.193.198: ICMP type-#192, length 1032
16:43:06.008993 IP 10.0.211.70 > 174.37.193.198: ICMP type-#138, length 1032
16:43:06.009155 IP 10.0.211.70 > 174.37.193.198: ICMP information request, length 1032
16:43:06.009273 IP 10.0.211.70 > 174.37.193.198: ICMP type-#98, length 1032
16:43:06.009436 IP 10.0.211.70 > 174.37.193.198: ICMP type-#78, length 1032
16:43:06.009553 IP 10.0.211.70 > 174.37.193.198: ICMP type-#58, length 1032
16:43:06.009670 IP 10.0.211.70 > 174.37.193.198: ICMP type-#80, length 1032

 

Что там на компе у абонента и какая ситуация с антивирями сказать пока не могу. Повесил на аггрегации фильтр по ip\icmp

Edited by XeonVs

Share this post


Link to post
Share on other sites
Коллеги! Будьте внимательны.

 

Выловил тут очередную заразу, флуд на IP 174.37.193.198

Сыпет на скорости интерфейса icmp траффик с рандомным types

Проверил, у меня аналогично, зарезал.

 

Share this post


Link to post
Share on other sites

У меня тоже udp dst port 53 был ночью на похожий адрес. Возможно такой же

Share this post


Link to post
Share on other sites

Кстати да, началось сие ночью сегодня.

Share this post


Link to post
Share on other sites

добавился адрес 196.40.84.150, характер флуда тот же

 

upd: кажется, спалились:

20:53:11.104805 IP 83.222.226.219.1222 > x.x.x.x.3988: P 653:963(310) ack 273 win 108

...

0x0020: 5018 006c 749c 0000 3a5b 5749 5a5d 3739 P..lt...:[WIZ]79

0x0030: 3436 3133 2168 6371 6b79 7040 3935 2e31 4613!hcqkyp@x.x

0x0040: 3239 2e31 3636 2e31 3435 204a 4f49 4e20 .x.x.JOIN.

0x0050: 3a23 686d 6d0d 0a3a 6972 632e 6566 6e65 :#hmm..:irc.efne

0x0060: 742e 636f 6d20 3333 3220 5b57 495a 5d37 t.com.332.[WIZ]7

0x0070: 3934 3631 3320 2368 6d6d 203a 2e64 646f 94613.#hmm.:.ddo

0x0080: 732e 6963 6d70 2031 3734 2e33 362e 3139 s.icmp.174.36.19

0x0090: 342e 3937 2038 3030 3030 0d0a 3a69 7263 4.97.80000..:irc

0x00a0: 2e65 666e 6574 2e63 6f6d 2033 3333 205b .efnet.com.333.[

0x00b0: 5749 5a5d 3739 3436 3133 2023 686d 6d20 WIZ]794613.#hmm.

0x00c0: 6a20 3132 3638 3834 3131 3137 0d0a 3a69 j.1268841117..:i

0x00d0: 7263 2e65 666e 6574 2e63 6f6d 2033 3032 rc.efnet.com.302

0x00e0: 205b 5749 5a5d 3739 3436 3133 203a 5b57 .[WIZ]794613.:[W

...

20:50:20.960535 IP x.x.x.x.4647 > 83.222.226.219.1222: P 273:361(88) ack 960 win 64576

...

0x0020: 5018 fc40 099a 0000 5052 4956 4d53 4720 P..@....PRIVMSG.

0x0030: 2368 6d6d 203a 026e 027a 1f6d 1f20 2869 #hmm.:.n.z.m..(i

0x0040: 636d 702e 701f 6c1f 6729 2002 bbbb 0220 cmp.p.l.g)......

0x0050: 2046 6c6f 6f64 696e 673a 2028 3137 342e .Flooding:.(174.

0x0060: 3337 2e31 3933 2e31 3938 2920 666f 7220 37.193.198).for.

0x0070: 3830 3030 3020 7365 636f 6e64 732e 0d0a 80000.seconds...

Edited by bios

Share this post


Link to post
Share on other sites

да, похоже на правду.

Share this post


Link to post
Share on other sites

есть еще подозрение на

92.243.21.79:80

70.32.35.17:80

Share this post


Link to post
Share on other sites

ещё запрашивается www.MSNAREA.COM (ресолвится в 70.32.35.17)

Edited by bios

Share this post


Link to post
Share on other sites

Кстати BitchX 70.32.35.17:80

вполне работает.

Share this post


Link to post
Share on other sites

0_3e9eb_8cdb8b04_orig.png

 

вот такая вот фигня, да. по анализам netflow у меня всего ДВОЕ завирусованных, весь трафик идет на 174.36.194.97

Share this post


Link to post
Share on other sites

наблюдал от 30 до 90+ мбит с бота. что, например, при переходе ботнета на 174.36.194.97 дало мгновенный прирост около 600 мбит.

Share this post


Link to post
Share on other sites

Это у чего такой отложенный список ДДоСа по ицмп?

Пугали в прошлом году давтой внутри Kido/Conficker, а ничего особого в эту дату не произошло... Один из будней этой заразы был и всё...

А вот данная вещь - уже зло... 1000*10МБит такого флуда и не всем железкам на входе к указанным ИП будет хорошо... 10000*10МБит - уже совсем нехорошо... При вирусном масштабе - такие уровни атак элементарны... Где-то уже на НАГе в новостях/статьях пролетала аналитика по атакам... Видимо этой заразой она малость подкорректируется под реалии этого года относительно предсказаний...

Share this post


Link to post
Share on other sites

как бороться меняет постоянно адрес для атаки, есть ли предложения ?

 

19:54:03.353357 IP 10.2.53.127 > 196.40.71.81: ICMP type-#111, length 1032

0x0000: 4500 041c 83a9 0000 7f01 693d 0a02 357f E.........i=..5.

0x0010: c428 4751 6fdc 0000 7900 0100 4343 4343 .(GQo...y...CCCC

0x0020: 4343 4343 4343 4343 4343 4343 4343 4343 CCCCCCCCCCCCCCCC

0x0030: 4343 4343 4343 CCCCCC

19:54:03.353397 IP 10.3.16.86 > 196.40.71.81: ICMP type-#215, length 1032

0x0000: 4500 041c 84ef 0000 7f01 8d1f 0a03 1056 E..............V

0x0010: c428 4751 d7e2 0000 3c00 0100 e6e6 e6e6 .(GQ....<.......

0x0020: e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 ................

0x0030: e6e6 e6e6 e6e6 ......

19:54:03.353431 IP 10.3.16.86 > 196.40.71.81: ICMP type-#190, length 1032

0x0000: 4500 041c 84f0 0000 7f01 8d1e 0a03 1056 E..............V

0x0010: c428 4751 beb8 0000 d700 0100 cdcd cdcd .(GQ............

0x0020: cdcd cdcd cdcd cdcd cdcd cdcd cdcd cdcd ................

0x0030: cdcd cdcd cdcd ......

19:54:03.353452 IP 10.1.48.95 > 196.40.71.81: ICMP type-#111, length 1032

0x0000: 4500 041c 0100 0000 7e01 f207 0a01 305f E.......~.....0_

0x0010: c428 4751 6ff5 0000 2100 0100 d8d8 d8d8 .(GQo...!.......

0x0020: d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 ................

0x0030: d8d8 d8d8 d8d8 ......

19:54:03.353460 IP 10.2.57.125 > 196.40.71.81: ICMP type-#199, length 1032

0x0000: 4500 041c 0100 0000 7f01 e7e8 0a02 397d E.............9}

0x0010: c428 4751 c7d9 0000 6e00 0100 7777 7777 .(GQ....n...wwww

0x0020: 7777 7777 7777 7777 7777 7777 7777 7777 wwwwwwwwwwwwwwww

0x0030: 7777 7777 7777 wwwwww

19:54:03.353521 IP 10.3.16.86 > 196.40.71.81: ICMP type-#115, length 1032

0x0000: 4500 041c 84f1 0000 7f01 8d1d 0a03 1056 E..............V

0x0010: c428 4751 73d7 0000 0500 0100 1a1a 1a1a .(GQs...........

0x0020: 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a ................

0x0030: 1a1a 1a1a 1a1a ......

19:54:03.353541 IP 10.2.53.127 > 196.40.71.81: ICMP type-#73, length 1032

0x0000: 4500 041c 83aa 0000 7f01 693c 0a02 357f E.........i<..5.

0x0010: c428 4751 49f7 0000 3d00 0100 ebeb ebeb .(GQI...=.......

0x0020: ebeb ebeb ebeb ebeb ebeb ebeb ebeb ebeb ................

0x0030: ebeb ebeb ebeb ......

19:54:03.353611 IP 10.3.16.86 > 196.40.71.81: ICMP type-#127, length 1032

0x0000: 4500 041c 84f2 0000 7f01 8d1c 0a03 1056 E..............V

0x0010: c428 4751 7ff1 0000 ed00 0100 4040 4040 .(GQ........@@@@

0x0020: 4040 4040 4040 4040 4040 4040 4040 4040 @@@@@@@@@@@@@@@@

0x0030: 4040 4040 4040 @@@@@@

 

Share this post


Link to post
Share on other sites

голова живет тут:

83.222.226.219

92.243.21.79

70.32.35.17

 

этот ли вирь выясняется просмотром вывода

tcpdump -s1500 -Xni vlan0 "ip[48:4]=0x2e65666e" or "ip[48:4]=0x632e6566"

 

а дальше бан на найденные ипы.

Edited by XeonVs

Share this post


Link to post
Share on other sites

XeonVs как вы их (ботнеты) вычисляете, и как сигнатуры определяете?

Edited by [GP]Villi

Share this post


Link to post
Share on other sites

XeonVs как вы их (ботнеты) вычисляете, и как сигнатуры определяете?

Как на приведенной картинке выше - анализ netflow на предмет аномального трафика.

А дальше tcpdump и глазки.

 

Share this post


Link to post
Share on other sites

Хорошо если бот тупой и валит какойто ресурс по icmp, тогда его вычислить легко. А что делать если флуд идет по 80-му порту tcp? Тут глазки могут уже и не помочь.

Share this post


Link to post
Share on other sites
Как на приведенной картинке выше - анализ netflow на предмет аномального трафика.

А дальше tcpdump и глазки.

ручной анализ? сигнатуры пакетов то как определяете, те самые характеризующие байты.

 

 

Share this post


Link to post
Share on other sites
Как на приведенной картинке выше - анализ netflow на предмет аномального трафика.

А дальше tcpdump и глазки.

ручной анализ? сигнатуры пакетов то как определяете, те самые характеризующие байты.

в основном да. дак tcpdump -X выводит пакет, смещение и байты там видно.

Share this post


Link to post
Share on other sites

ну пакетов то много, как определяете какие именно являются характеризующими, чтобы выцепить из него сигнатуру. есть метода?)

Share this post


Link to post
Share on other sites

ну пакетов то много, как определяете какие именно являются характеризующими, чтобы выцепить из него сигнатуру. есть метода?)

в данном случае, сигнатура это текстовая строка. Определялось глазами по потоку данных от клиента к голове виря.

Share this post


Link to post
Share on other sites

Сервер для атаки вечно меняется, при этом пошел уже TCP трафик, и как боротся мне пока не ясно, кроме как в ручную блочить, при этом сервера доступа просто уходят в 100% загрузку ядра, и трафик через него весь падает....

 

14:46:44.710737 IP 10.4.72.41 > 208.43.224.60: ICMP type-#252, length 1032

0x0000: 4500 041c e5ca 0000 7f01 4f81 0a04 4829 E.........O...H)

0x0010: d02b e03c fc4f 0000 c700 0100 6f6f 6f6f .+.<.O......oooo

0x0020: 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f oooooooooooooooo

0x0030: 6f6f 6f6f 6f6f oooooo

14:46:44.710738 IP 10.4.72.41.3577 > 208.43.224.60.1999: S 520672062:520672062(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]>

0x0000: 4500 0040 e5cb 4000 2f06 6357 0a04 4829 E..@..@./.cW..H)

0x0010: d02b e03c 0df9 07cf 1f08 d33e 0000 0000 .+.<.......>....

0x0020: b002 ffff 2b5a 0000 0204 05b4 0103 0303 ....+Z..........

0x0030: 0101 080a 0000 ......

14:46:44.710942 IP 10.4.72.41 > 208.43.224.60: ICMP #84 179.179.179.179 unreachable, length 1032

0x0000: 4500 041c e5cc 0000 7f01 4f7f 0a04 4829 E.........O...H)

0x0010: d02b e03c 0354 0000 5a00 0100 b3b3 b3b3 .+.<.T..Z.......

0x0020: b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 ................

0x0030: b3b3 b3b3 b3b3 ......

14:46:44.711245 IP 10.4.72.41 > 208.43.224.60: ICMP type-#197, length 1032

0x0000: 4500 041c e5cd 0000 7f01 4f7e 0a04 4829 E.........O~..H)

0x0010: d02b e03c c54c 0000 6300 0100 e4e4 e4e4 .+.<.L..c.......

0x0020: e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 ................

0x0030: e4e4 e4e4 e4e4 ......

14:46:44.711325 IP 10.4.72.41.3578 > 208.43.224.60.1999: S 2703371490:2703371490(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]>

0x0000: 4500 0040 e5cf 4000 2f06 6353 0a04 4829 E..@..@./.cS..H)

0x0010: d02b e03c 0dfa 07cf a122 2ce2 0000 0000 .+.<.....",.....

0x0020: b002 ffff 4f9b 0000 0204 05b4 0103 0303 ....O...........

0x0030: 0101 080a 0000 ......

14:46:44.711333 IP 10.4.72.41 > 208.43.224.60: ICMP type-#24, length 1032

0x0000: 4500 041c e5ce 0000 7f01 4f7d 0a04 4829 E.........O}..H)

0x0010: d02b e03c 1848 0000 e400 0100 a9a9 a9a9 .+.<.H..........

0x0020: a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 ................

0x0030: a9a9 a9a9 a9a9 ......

14:46:44.711418 IP 10.4.72.41 > 208.43.224.60: ICMP type-#212, length 1032

0x0000: 4500 041c e5d0 0000 7f01 4f7b 0a04 4829 E.........O{..H)

0x0010: d02b e03c d44c 0000 6d00 0100 6a6a 6a6a .+.<.L..m...jjjj

0x0020: 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a jjjjjjjjjjjjjjjj

0x0030: 6a6a 6a6a 6a6a jjjjjj

14:46:44.711507 IP 10.4.72.41.3579 > 208.43.224.60.1999: S 1615964905:1615964905(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]>

0x0000: 4500 0040 e5d2 4000 2f06 6350 0a04 4829 E..@..@./.cP..H)

0x0010: d02b e03c 0dfb 07cf 6051 aae9 0000 0000 .+.<....`Q......

0x0020: b002 ffff 1264 0000 0204 05b4 0103 0303 .....d..........

0x0030: 0101 080a 0000 ......

14:46:44.711508 IP 10.4.72.41 > 208.43.224.60: ICMP type-#218, length 1032

0x0000: 4500 041c e5d1 0000 7f01 4f7a 0a04 4829 E.........Oz..H)

0x0010: d02b e03c da48 0000 8f00 0100 ecec ecec .+.<.H..........

0x0020: ecec ecec ecec ecec ecec ecec ecec ecec ................

0x0030: ecec ecec ecec ......

Edited by V@No

Share this post


Link to post
Share on other sites

по анализу трафика немного нашел сходство, пробую фильтровать ТСР трафик по сигнатуре

 

iptables -I FORWARD 8 -p tcp -m tcp -m string --hex-string "|020405b401030303|" --algo kmp --from 40 --to 48 -j DROP

 

-----

 

Test faild... :( не помогло.... перекрыл кислород многим сайтам...

Edited by V@No

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this