XeonVs Опубликовано 17 марта, 2010 (изменено) · Жалоба Коллеги! Будьте внимательны. Выловил тут очередную заразу, флуд на IP 174.37.193.198 Сыпет на скорости интерфейса icmp траффик с рандомным types пример: 16:43:06.008055 IP 10.0.211.70 > 174.37.193.198: ICMP type-#98, length 1032 16:43:06.008168 IP 10.0.211.70 > 174.37.193.198: ICMP router advertisement lifetime 4:16 84: [size 0], length 1032 16:43:06.008305 IP 10.0.211.70 > 174.37.193.198: ICMP type-#68, length 1032 16:43:06.008383 IP 10.0.211.70 > 174.37.193.198: ICMP type-#34, length 1032 16:43:06.008714 IP 10.0.211.70 > 174.37.193.198: ICMP type-#183, length 1032 16:43:06.008831 IP 10.0.211.70 > 174.37.193.198: ICMP type-#192, length 1032 16:43:06.008993 IP 10.0.211.70 > 174.37.193.198: ICMP type-#138, length 1032 16:43:06.009155 IP 10.0.211.70 > 174.37.193.198: ICMP information request, length 1032 16:43:06.009273 IP 10.0.211.70 > 174.37.193.198: ICMP type-#98, length 1032 16:43:06.009436 IP 10.0.211.70 > 174.37.193.198: ICMP type-#78, length 1032 16:43:06.009553 IP 10.0.211.70 > 174.37.193.198: ICMP type-#58, length 1032 16:43:06.009670 IP 10.0.211.70 > 174.37.193.198: ICMP type-#80, length 1032 Что там на компе у абонента и какая ситуация с антивирями сказать пока не могу. Повесил на аггрегации фильтр по ip\icmp Изменено 17 марта, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2c2i Опубликовано 17 марта, 2010 · Жалоба Коллеги! Будьте внимательны. Выловил тут очередную заразу, флуд на IP 174.37.193.198 Сыпет на скорости интерфейса icmp траффик с рандомным types Проверил, у меня аналогично, зарезал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 17 марта, 2010 · Жалоба У меня тоже udp dst port 53 был ночью на похожий адрес. Возможно такой же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 17 марта, 2010 · Жалоба Кстати да, началось сие ночью сегодня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bios Опубликовано 17 марта, 2010 (изменено) · Жалоба добавился адрес 196.40.84.150, характер флуда тот же upd: кажется, спалились: 20:53:11.104805 IP 83.222.226.219.1222 > x.x.x.x.3988: P 653:963(310) ack 273 win 108... 0x0020: 5018 006c 749c 0000 3a5b 5749 5a5d 3739 P..lt...:[WIZ]79 0x0030: 3436 3133 2168 6371 6b79 7040 3935 2e31 4613!hcqkyp@x.x 0x0040: 3239 2e31 3636 2e31 3435 204a 4f49 4e20 .x.x.JOIN. 0x0050: 3a23 686d 6d0d 0a3a 6972 632e 6566 6e65 :#hmm..:irc.efne 0x0060: 742e 636f 6d20 3333 3220 5b57 495a 5d37 t.com.332.[WIZ]7 0x0070: 3934 3631 3320 2368 6d6d 203a 2e64 646f 94613.#hmm.:.ddo 0x0080: 732e 6963 6d70 2031 3734 2e33 362e 3139 s.icmp.174.36.19 0x0090: 342e 3937 2038 3030 3030 0d0a 3a69 7263 4.97.80000..:irc 0x00a0: 2e65 666e 6574 2e63 6f6d 2033 3333 205b .efnet.com.333.[ 0x00b0: 5749 5a5d 3739 3436 3133 2023 686d 6d20 WIZ]794613.#hmm. 0x00c0: 6a20 3132 3638 3834 3131 3137 0d0a 3a69 j.1268841117..:i 0x00d0: 7263 2e65 666e 6574 2e63 6f6d 2033 3032 rc.efnet.com.302 0x00e0: 205b 5749 5a5d 3739 3436 3133 203a 5b57 .[WIZ]794613.:[W ... 20:50:20.960535 IP x.x.x.x.4647 > 83.222.226.219.1222: P 273:361(88) ack 960 win 64576... 0x0020: 5018 fc40 099a 0000 5052 4956 4d53 4720 P..@....PRIVMSG. 0x0030: 2368 6d6d 203a 026e 027a 1f6d 1f20 2869 #hmm.:.n.z.m..(i 0x0040: 636d 702e 701f 6c1f 6729 2002 bbbb 0220 cmp.p.l.g)...... 0x0050: 2046 6c6f 6f64 696e 673a 2028 3137 342e .Flooding:.(174. 0x0060: 3337 2e31 3933 2e31 3938 2920 666f 7220 37.193.198).for. 0x0070: 3830 3030 3020 7365 636f 6e64 732e 0d0a 80000.seconds... Изменено 17 марта, 2010 пользователем bios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 17 марта, 2010 · Жалоба да, похоже на правду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bios Опубликовано 17 марта, 2010 (изменено) · Жалоба ~ # host www.bitcity.org www.bitcity.org has address 83.222.226.219 upd: пишут, что это некий Trojan.Win32.Inject.aatj http://www.threatexpert.com/report.aspx?md...27c51f56aa24216 Изменено 17 марта, 2010 пользователем bios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 17 марта, 2010 · Жалоба есть еще подозрение на 92.243.21.79:80 70.32.35.17:80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bios Опубликовано 17 марта, 2010 (изменено) · Жалоба ещё запрашивается www.MSNAREA.COM (ресолвится в 70.32.35.17) Изменено 17 марта, 2010 пользователем bios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 17 марта, 2010 · Жалоба Кстати BitchX 70.32.35.17:80 вполне работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 17 марта, 2010 · Жалоба вот такая вот фигня, да. по анализам netflow у меня всего ДВОЕ завирусованных, весь трафик идет на 174.36.194.97 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bios Опубликовано 17 марта, 2010 · Жалоба наблюдал от 30 до 90+ мбит с бота. что, например, при переходе ботнета на 174.36.194.97 дало мгновенный прирост около 600 мбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 18 марта, 2010 · Жалоба Это у чего такой отложенный список ДДоСа по ицмп? Пугали в прошлом году давтой внутри Kido/Conficker, а ничего особого в эту дату не произошло... Один из будней этой заразы был и всё... А вот данная вещь - уже зло... 1000*10МБит такого флуда и не всем железкам на входе к указанным ИП будет хорошо... 10000*10МБит - уже совсем нехорошо... При вирусном масштабе - такие уровни атак элементарны... Где-то уже на НАГе в новостях/статьях пролетала аналитика по атакам... Видимо этой заразой она малость подкорректируется под реалии этого года относительно предсказаний... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
V@No Опубликовано 18 марта, 2010 · Жалоба как бороться меняет постоянно адрес для атаки, есть ли предложения ? 19:54:03.353357 IP 10.2.53.127 > 196.40.71.81: ICMP type-#111, length 1032 0x0000: 4500 041c 83a9 0000 7f01 693d 0a02 357f E.........i=..5. 0x0010: c428 4751 6fdc 0000 7900 0100 4343 4343 .(GQo...y...CCCC 0x0020: 4343 4343 4343 4343 4343 4343 4343 4343 CCCCCCCCCCCCCCCC 0x0030: 4343 4343 4343 CCCCCC 19:54:03.353397 IP 10.3.16.86 > 196.40.71.81: ICMP type-#215, length 1032 0x0000: 4500 041c 84ef 0000 7f01 8d1f 0a03 1056 E..............V 0x0010: c428 4751 d7e2 0000 3c00 0100 e6e6 e6e6 .(GQ....<....... 0x0020: e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 ................ 0x0030: e6e6 e6e6 e6e6 ...... 19:54:03.353431 IP 10.3.16.86 > 196.40.71.81: ICMP type-#190, length 1032 0x0000: 4500 041c 84f0 0000 7f01 8d1e 0a03 1056 E..............V 0x0010: c428 4751 beb8 0000 d700 0100 cdcd cdcd .(GQ............ 0x0020: cdcd cdcd cdcd cdcd cdcd cdcd cdcd cdcd ................ 0x0030: cdcd cdcd cdcd ...... 19:54:03.353452 IP 10.1.48.95 > 196.40.71.81: ICMP type-#111, length 1032 0x0000: 4500 041c 0100 0000 7e01 f207 0a01 305f E.......~.....0_ 0x0010: c428 4751 6ff5 0000 2100 0100 d8d8 d8d8 .(GQo...!....... 0x0020: d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 ................ 0x0030: d8d8 d8d8 d8d8 ...... 19:54:03.353460 IP 10.2.57.125 > 196.40.71.81: ICMP type-#199, length 1032 0x0000: 4500 041c 0100 0000 7f01 e7e8 0a02 397d E.............9} 0x0010: c428 4751 c7d9 0000 6e00 0100 7777 7777 .(GQ....n...wwww 0x0020: 7777 7777 7777 7777 7777 7777 7777 7777 wwwwwwwwwwwwwwww 0x0030: 7777 7777 7777 wwwwww 19:54:03.353521 IP 10.3.16.86 > 196.40.71.81: ICMP type-#115, length 1032 0x0000: 4500 041c 84f1 0000 7f01 8d1d 0a03 1056 E..............V 0x0010: c428 4751 73d7 0000 0500 0100 1a1a 1a1a .(GQs........... 0x0020: 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a ................ 0x0030: 1a1a 1a1a 1a1a ...... 19:54:03.353541 IP 10.2.53.127 > 196.40.71.81: ICMP type-#73, length 1032 0x0000: 4500 041c 83aa 0000 7f01 693c 0a02 357f E.........i<..5. 0x0010: c428 4751 49f7 0000 3d00 0100 ebeb ebeb .(GQI...=....... 0x0020: ebeb ebeb ebeb ebeb ebeb ebeb ebeb ebeb ................ 0x0030: ebeb ebeb ebeb ...... 19:54:03.353611 IP 10.3.16.86 > 196.40.71.81: ICMP type-#127, length 1032 0x0000: 4500 041c 84f2 0000 7f01 8d1c 0a03 1056 E..............V 0x0010: c428 4751 7ff1 0000 ed00 0100 4040 4040 .(GQ........@@@@ 0x0020: 4040 4040 4040 4040 4040 4040 4040 4040 @@@@@@@@@@@@@@@@ 0x0030: 4040 4040 4040 @@@@@@ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
В Густелёв Опубликовано 18 марта, 2010 · Жалоба V@No, бань сервер управления и icmp пакеты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 18 марта, 2010 (изменено) · Жалоба голова живет тут: 83.222.226.219 92.243.21.79 70.32.35.17 этот ли вирь выясняется просмотром вывода tcpdump -s1500 -Xni vlan0 "ip[48:4]=0x2e65666e" or "ip[48:4]=0x632e6566" а дальше бан на найденные ипы. Изменено 18 марта, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 18 марта, 2010 (изменено) · Жалоба XeonVs как вы их (ботнеты) вычисляете, и как сигнатуры определяете? Изменено 18 марта, 2010 пользователем [GP]Villi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 18 марта, 2010 · Жалоба XeonVs как вы их (ботнеты) вычисляете, и как сигнатуры определяете?Как на приведенной картинке выше - анализ netflow на предмет аномального трафика.А дальше tcpdump и глазки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 18 марта, 2010 · Жалоба Хорошо если бот тупой и валит какойто ресурс по icmp, тогда его вычислить легко. А что делать если флуд идет по 80-му порту tcp? Тут глазки могут уже и не помочь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 19 марта, 2010 · Жалоба Как на приведенной картинке выше - анализ netflow на предмет аномального трафика.А дальше tcpdump и глазки. ручной анализ? сигнатуры пакетов то как определяете, те самые характеризующие байты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 19 марта, 2010 · Жалоба Как на приведенной картинке выше - анализ netflow на предмет аномального трафика.А дальше tcpdump и глазки. ручной анализ? сигнатуры пакетов то как определяете, те самые характеризующие байты. в основном да. дак tcpdump -X выводит пакет, смещение и байты там видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 19 марта, 2010 · Жалоба ну пакетов то много, как определяете какие именно являются характеризующими, чтобы выцепить из него сигнатуру. есть метода?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 20 марта, 2010 · Жалоба ну пакетов то много, как определяете какие именно являются характеризующими, чтобы выцепить из него сигнатуру. есть метода?)в данном случае, сигнатура это текстовая строка. Определялось глазами по потоку данных от клиента к голове виря. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
V@No Опубликовано 20 марта, 2010 (изменено) · Жалоба Сервер для атаки вечно меняется, при этом пошел уже TCP трафик, и как боротся мне пока не ясно, кроме как в ручную блочить, при этом сервера доступа просто уходят в 100% загрузку ядра, и трафик через него весь падает.... 14:46:44.710737 IP 10.4.72.41 > 208.43.224.60: ICMP type-#252, length 1032 0x0000: 4500 041c e5ca 0000 7f01 4f81 0a04 4829 E.........O...H) 0x0010: d02b e03c fc4f 0000 c700 0100 6f6f 6f6f .+.<.O......oooo 0x0020: 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f oooooooooooooooo 0x0030: 6f6f 6f6f 6f6f oooooo 14:46:44.710738 IP 10.4.72.41.3577 > 208.43.224.60.1999: S 520672062:520672062(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]> 0x0000: 4500 0040 e5cb 4000 2f06 6357 0a04 4829 E..@..@./.cW..H) 0x0010: d02b e03c 0df9 07cf 1f08 d33e 0000 0000 .+.<.......>.... 0x0020: b002 ffff 2b5a 0000 0204 05b4 0103 0303 ....+Z.......... 0x0030: 0101 080a 0000 ...... 14:46:44.710942 IP 10.4.72.41 > 208.43.224.60: ICMP #84 179.179.179.179 unreachable, length 1032 0x0000: 4500 041c e5cc 0000 7f01 4f7f 0a04 4829 E.........O...H) 0x0010: d02b e03c 0354 0000 5a00 0100 b3b3 b3b3 .+.<.T..Z....... 0x0020: b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 ................ 0x0030: b3b3 b3b3 b3b3 ...... 14:46:44.711245 IP 10.4.72.41 > 208.43.224.60: ICMP type-#197, length 1032 0x0000: 4500 041c e5cd 0000 7f01 4f7e 0a04 4829 E.........O~..H) 0x0010: d02b e03c c54c 0000 6300 0100 e4e4 e4e4 .+.<.L..c....... 0x0020: e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 ................ 0x0030: e4e4 e4e4 e4e4 ...... 14:46:44.711325 IP 10.4.72.41.3578 > 208.43.224.60.1999: S 2703371490:2703371490(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]> 0x0000: 4500 0040 e5cf 4000 2f06 6353 0a04 4829 E..@..@./.cS..H) 0x0010: d02b e03c 0dfa 07cf a122 2ce2 0000 0000 .+.<.....",..... 0x0020: b002 ffff 4f9b 0000 0204 05b4 0103 0303 ....O........... 0x0030: 0101 080a 0000 ...... 14:46:44.711333 IP 10.4.72.41 > 208.43.224.60: ICMP type-#24, length 1032 0x0000: 4500 041c e5ce 0000 7f01 4f7d 0a04 4829 E.........O}..H) 0x0010: d02b e03c 1848 0000 e400 0100 a9a9 a9a9 .+.<.H.......... 0x0020: a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 ................ 0x0030: a9a9 a9a9 a9a9 ...... 14:46:44.711418 IP 10.4.72.41 > 208.43.224.60: ICMP type-#212, length 1032 0x0000: 4500 041c e5d0 0000 7f01 4f7b 0a04 4829 E.........O{..H) 0x0010: d02b e03c d44c 0000 6d00 0100 6a6a 6a6a .+.<.L..m...jjjj 0x0020: 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a jjjjjjjjjjjjjjjj 0x0030: 6a6a 6a6a 6a6a jjjjjj 14:46:44.711507 IP 10.4.72.41.3579 > 208.43.224.60.1999: S 1615964905:1615964905(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]> 0x0000: 4500 0040 e5d2 4000 2f06 6350 0a04 4829 E..@..@./.cP..H) 0x0010: d02b e03c 0dfb 07cf 6051 aae9 0000 0000 .+.<....`Q...... 0x0020: b002 ffff 1264 0000 0204 05b4 0103 0303 .....d.......... 0x0030: 0101 080a 0000 ...... 14:46:44.711508 IP 10.4.72.41 > 208.43.224.60: ICMP type-#218, length 1032 0x0000: 4500 041c e5d1 0000 7f01 4f7a 0a04 4829 E.........Oz..H) 0x0010: d02b e03c da48 0000 8f00 0100 ecec ecec .+.<.H.......... 0x0020: ecec ecec ecec ecec ecec ecec ecec ecec ................ 0x0030: ecec ecec ecec ...... Изменено 20 марта, 2010 пользователем V@No Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
V@No Опубликовано 20 марта, 2010 (изменено) · Жалоба по анализу трафика немного нашел сходство, пробую фильтровать ТСР трафик по сигнатуре iptables -I FORWARD 8 -p tcp -m tcp -m string --hex-string "|020405b401030303|" --algo kmp --from 40 --to 48 -j DROP ----- Test faild... :( не помогло.... перекрыл кислород многим сайтам... Изменено 20 марта, 2010 пользователем V@No Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...