Jump to content
Калькуляторы

DNS-серверу приходят пакеты src ip==dst ip==ip самого сервера

Всем привет!

Обнаружили вот такое:

[root@server xdream]# tcpdump dst server_ip and src server_ip      
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ether1, link-type EN10MB (Ethernet), capture size 96 bytes
17:06:12.537073 IP server.36717 > server.domain:  17954+ A? img3.2125.com. (31)
17:06:13.330042 IP server.38671 > server.domain:  17954+ A? emotion.self.com.cn. (37)
17:06:25.003532 IP server.35671 > server.domain:  17954+ A? www.7caihua.com.cn. (36)
17:06:25.351711 IP server.40541 > server.domain:  17954+ A? food.21cn.com. (31)
17:06:38.645049 IP server.36041 > server.domain:  17954+ A? img2.trends.com.cn. (36)
17:06:54.625507 IP server.38749 > server.domain:  17954+ A? soap.hunantv.com. (34)
17:07:14.209061 IP server.34937 > server.domain:  17954+ A? hao7.9355.com. (31)
17:07:15.767718 IP server.42510 > server.domain:  17954+ A? www.go9939.net. (32)
17:07:24.986115 IP server.40832 > server.domain:  17954+ A? ss.tiancity.com. (33)
17:07:27.896557 IP server.37746 > server.domain:  17954+ A? ws6.cdntest.cdn20.com. (39)
17:07:31.330315 IP server.40957 > server.domain:  17954+ A? testfile15.top100.cn.lxdns.com. (48)
17:07:31.461470 IP server.35453 > server.domain:  17954+ A? yx.ccjoy.com. (30)
17:07:34.353925 IP server.38285 > server.domain:  17954+ A? testfile16.top100.cn.lxdns.com. (48)
17:07:41.957455 IP server.41852 > server.domain:  17954+ A? pic1.kaixin001.com.cn. (39)
17:07:43.064752 IP server.33019 > server.domain:  17954+ A? mc.lezi.com. (29)
17:07:47.963826 IP server.40601 > server.domain:  17954+ A? strp2.yokacdn.com. (35)
17:07:53.515498 IP server.36584 > server.domain:  17954+ A? static.zoomino.cn. (35)
17:07:56.397206 IP server.40160 > server.domain:  17954+ A? live.t.21cn.com. (33)
17:08:04.671937 IP server.41393 > server.domain:  17954+ A? www.52tiancai.com. (35)
17:08:05.027101 IP server.40346 > server.domain:  17954+ A? www.51amk.com. (31)
17:08:06.906673 IP server.38944 > server.domain:  17954+ A? www.fy88.net. (30)
17:08:08.165904 IP server.38434 > server.domain:  17954+ A? mymm.qidian.com. (33)
17:08:11.289954 IP server.42063 > server.domain:  17954+ A? down1.qidian.com. (34)
17:08:19.652012 IP server.37990 > server.domain:  17954+ A? lehuo.27.cn. (29)
17:08:34.281407 IP server.35215 > server.domain:  17954+ A? stream17.qqmusic.qq.com. (41)
17:08:42.409598 IP server.42172 > server.domain:  17954+ A? partuza.gzonline.net. (38)
17:08:45.944547 IP server.36151 > server.domain:  17954+ A? img2.27.cn. (28)
17:09:16.319537 IP server.38907 > server.domain:  17954+ A? sdo.loong3d.com. (33)
17:09:26.734039 IP server.38621 > server.domain:  17954+ A? www.greedland.net. (35)

 

Т.е. на сервер приходят пакеты с подмененным IP адресом (равнм адресу самого сервера)

Подскажить что это такое и опасно ли?

Share this post


Link to post
Share on other sites

Судя по всему флудят ns*.glb0.lxdns.com

 

Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри.

 

 

Share this post


Link to post
Share on other sites

А у нас было! :)

deny all from any to any not verrevpath in

deny all from any to any not versrcreach in

и даже

deny all from any to any not antispoof in

 

Just use FreeBSD

 

Share this post


Link to post
Share on other sites

Я, конечно, понимаю, что ether1 и lo* - это разные интерфейсы,

но не может ли быть такого, что заражён сам сервер?

 

Если tcpdump запустить с ключом "-e", какой MAC-адрес отправителя он покажет?

Share this post


Link to post
Share on other sites

Добрый день.

s.lobanov, Нет не выяснили... А как? Вот тут на форуме похожая тема есть - пытются понять откуда идет DoS атака с подмененным IP и вроде без результатно.

 

st_re, Deac Зафильровать думаю самое простое IPTABLESом на этом же сервере. Это не DoS, пакетов таких не много...Ну может штук 10-20 в минуту. Вот вопрос - скакой целью их могут слать? Может это какая-то типовая атака с целью подменить адреса в кеше DNS-сервера или типа такого?

 

Ilya Evseev Мак отправителя - циска которая является дефолтным шлюзом для этого сервера. Т.е. пакеты летят извне.

Share this post


Link to post
Share on other sites

Не просто зафильтровать, а избавиться от подобного мусора как класса, а потом уже, добавив нотацию "log", медитировать о назначении пакетов и целях их отправителей.

Share this post


Link to post
Share on other sites
Всем привет!

Обнаружили вот такое:

[root@server xdream]# tcpdump dst server_ip and src server_ip      
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ether1, link-type EN10MB (Ethernet), capture size 96 bytes
17:06:12.537073 IP server.36717 > server.domain:  17954+ A? img3.2125.com. (31)
17:06:13.330042 IP server.38671 > server.domain:  17954+ A? emotion.self.com.cn. (37)
17:06:25.003532 IP server.35671 > server.domain:  17954+ A? www.7caihua.com.cn. (36)
17:06:25.351711 IP server.40541 > server.domain:  17954+ A? food.21cn.com. (31)
17:06:38.645049 IP server.36041 > server.domain:  17954+ A? img2.trends.com.cn. (36)
17:06:54.625507 IP server.38749 > server.domain:  17954+ A? soap.hunantv.com. (34)
17:07:14.209061 IP server.34937 > server.domain:  17954+ A? hao7.9355.com. (31)
17:07:15.767718 IP server.42510 > server.domain:  17954+ A? www.go9939.net. (32)
17:07:24.986115 IP server.40832 > server.domain:  17954+ A? ss.tiancity.com. (33)
17:07:27.896557 IP server.37746 > server.domain:  17954+ A? ws6.cdntest.cdn20.com. (39)
17:07:31.330315 IP server.40957 > server.domain:  17954+ A? testfile15.top100.cn.lxdns.com. (48)
17:07:31.461470 IP server.35453 > server.domain:  17954+ A? yx.ccjoy.com. (30)
17:07:34.353925 IP server.38285 > server.domain:  17954+ A? testfile16.top100.cn.lxdns.com. (48)
17:07:41.957455 IP server.41852 > server.domain:  17954+ A? pic1.kaixin001.com.cn. (39)
17:07:43.064752 IP server.33019 > server.domain:  17954+ A? mc.lezi.com. (29)
17:07:47.963826 IP server.40601 > server.domain:  17954+ A? strp2.yokacdn.com. (35)
17:07:53.515498 IP server.36584 > server.domain:  17954+ A? static.zoomino.cn. (35)
17:07:56.397206 IP server.40160 > server.domain:  17954+ A? live.t.21cn.com. (33)
17:08:04.671937 IP server.41393 > server.domain:  17954+ A? www.52tiancai.com. (35)
17:08:05.027101 IP server.40346 > server.domain:  17954+ A? www.51amk.com. (31)
17:08:06.906673 IP server.38944 > server.domain:  17954+ A? www.fy88.net. (30)
17:08:08.165904 IP server.38434 > server.domain:  17954+ A? mymm.qidian.com. (33)
17:08:11.289954 IP server.42063 > server.domain:  17954+ A? down1.qidian.com. (34)
17:08:19.652012 IP server.37990 > server.domain:  17954+ A? lehuo.27.cn. (29)
17:08:34.281407 IP server.35215 > server.domain:  17954+ A? stream17.qqmusic.qq.com. (41)
17:08:42.409598 IP server.42172 > server.domain:  17954+ A? partuza.gzonline.net. (38)
17:08:45.944547 IP server.36151 > server.domain:  17954+ A? img2.27.cn. (28)
17:09:16.319537 IP server.38907 > server.domain:  17954+ A? sdo.loong3d.com. (33)
17:09:26.734039 IP server.38621 > server.domain:  17954+ A? www.greedland.net. (35)

 

Т.е. на сервер приходят пакеты с подмененным IP адресом (равнм адресу самого сервера)

Подскажить что это такое и опасно ли?

покажите /etc/resolv.conf , у вас там случаем не прописан ваш же ip

 

Share this post


Link to post
Share on other sites

Там же написано: "Мак отправителя - циска которая является дефолтным шлюзом для этого сервера. Т.е. пакеты летят извне. "

Share this post


Link to post
Share on other sites

Это попытка(?) отравления днс кеша, не более.

Так редко потому что для кеша чаще не нужно, и возможно сами записи обновляются раз в минуту.

 

Ради интереса посмотрите в кеш, отравился?)

Share this post


Link to post
Share on other sites

Да, в последнее время тоже такая фигня стала более интенсивно идти с внешки с подменными ip:

 

Вот что за секунду приходит на сетку /22

23:13:05.025832 IP *.*.173.236.41117 > *.*.174.2.53:  29469+ A? vwcupws.video.qq.com. (38)
23:13:05.036068 IP *.*.174.53.32990 > *.*.174.2.53:  19568+ A? www.chinafeedonline.com. (41)
23:13:05.049480 IP *.*.174.93.34047 > *.*.174.2.53:  29469+ A? img5.cache.netease.com. (40)
23:13:05.063112 IP *.*.174.80.33202 > *.*.174.2.53:  29469+ A? wq.wtgame.net. (31)
23:13:05.066746 IP *.*.172.96.33202 > *.*.172.1.53:  29469+ A? wq.wtgame.net. (31)
23:13:05.115442 IP *.*.172.85.34341 > *.*.172.1.53:  29469+ A? images.youshang.com. (37)
23:13:05.122734 IP *.*.173.247.39261 > *.*.174.2.53:  29469+ A? popme.163.com. (31)
23:13:05.126754 IP *.*.174.85.34341 > *.*.174.2.53:  29469+ A? images.youshang.com. (37)
23:13:05.156717 IP *.*.173.177.36522 > *.*.174.2.53:  29469+ A? www.babeltime.com. (35)
23:13:05.208089 IP *.*.174.18.41796 > *.*.174.2.53:  29469+ A? proimg.163.com. (32)
23:13:05.216506 IP *.*.172.35.41796 > *.*.172.1.53:  29469+ A? proimg.163.com. (32)
23:13:05.219125 IP *.*.172.98.35967 > *.*.172.1.53:  29469+ A? res.youshang.com. (34)
23:13:05.224588 IP *.*.174.85.35967 > *.*.174.2.53:  29469+ A? res.youshang.com. (34)
23:13:05.226188 IP *.*.173.211.40291 > *.*.174.2.53:  29469+ A? static.kaixin001.babeltime.com. (48)
23:13:05.673575 IP *.*.173.220.40589 > *.*.174.2.53:  19568+ A? gdl0102.linekong.com. (38)
23:13:05.741617 IP *.*.173.236.33440 > *.*.174.2.53:  19568+ A? html.5173cdn.com. (34)
23:13:05.804414 IP *.*.172.38.33608 > *.*.172.1.53:  19568+ A? admin.51auto.com. (34)
23:13:05.846405 IP *.*.172.92.39523 > *.*.172.1.53:  29469+ A? img6.cache.netease.com. (40)
23:13:05.851243 IP *.*.174.40.34700 > *.*.174.2.53:  19568+ A? images003.5173cdn.com. (39)
23:13:05.854484 IP *.*.173.251.39523 > *.*.174.2.53:  29469+ A? img6.cache.netease.com. (40)
23:13:05.855591 IP *.*.173.166.40190 > *.*.174.2.53:  29469+ A? downloads.youshang.com. (40)
23:13:05.858903 IP *.*.172.23.41197 > *.*.172.1.53:  19568+ A? news.wokchina.com. (35)
23:13:05.867618 IP *.*.174.97.39285 > *.*.174.2.53:  19568+ A? picture.51auto.com. (36)
23:13:05.871416 IP *.*.174.80.42036 > *.*.174.2.53:  29469+ A? ebuy.skoda.com.cn. (35)
23:13:05.928966 IP *.*.174.60.41876 > *.*.174.2.53:  29469+ A? adimg.163.com. (31)
23:13:05.939680 IP *.*.173.192.34682 > *.*.174.2.53:  29469+ A? image.dhgate.cdn20.com. (40)
23:13:05.948851 IP *.*.174.7.36003 > *.*.174.2.53:  29469+ A? www.go2eu.com. (31)
23:13:05.949234 IP *.*.172.56.36003 > *.*.172.1.53:  29469+ A? www.go2eu.com. (31)
23:13:05.956666 IP *.*.173.218.39381 > *.*.174.2.53:  19568+ A? gdl0201.linekong.com. (38)
23:13:05.996192 IP *.*.172.17.39580 > *.*.172.1.53:  19568+ A? helpcenter.5173cdn.com. (40)

Edited by alexmern

Share this post


Link to post
Share on other sites

Еще раз, рискну предположить что это флуд на нейм сервера. Все домены не смотрел, но тот десяток, что я проверил в ваших списках указывали на 1 набор нейм серверов где то в районе lxdns.com.

 

Вариант с отравлением кеша для этих доменов... Слишком много доменов, и время жизни там не большое. Мало шансов, что прокатит что то реальное.

 

Это к Вам идет по 10 в минуту... Если такого рода запросы в разные стороны катят тысячами, то этими же тысячами оно валит на нейм сервера

Share this post


Link to post
Share on other sites

У нас аналогично:

22:34:49.050146 IP 193.125.143.158.42559 > 193.125.143.173.53: 29469+ A? aaa.bbtv.cn. (29)
22:34:49.052565 IP 193.125.143.240.40260 > 193.125.143.173.53: 29469+ A? 231wg.com. (27)
22:34:49.065143 IP 193.125.143.232.34767 > 193.125.143.173.53: 29469+ A? assets.fobaby.com. (35)
22:34:49.127022 IP 193.125.143.209.35321 > 193.125.143.173.53: 29469+ A? cnkankan.com. (30)
22:34:49.141143 IP 193.125.143.135.37846 > 193.125.143.173.53: 29469+ A? tvpic.bbtv.cn. (31)
22:34:49.161143 IP 193.125.143.161.40628 > 193.125.143.173.53: 29469+ A? webgame.woolearn.com. (38)
22:34:49.194813 IP 193.125.143.171.37314 > 193.125.143.173.53: 19568+ A? www.875.cn. (28)
22:34:49.305229 IP 193.125.143.136.35277 > 193.125.143.173.53: 19568+ A? ren.bjonline.net. (34)
22:34:49.309398 IP 193.125.143.176.41184 > 193.125.143.173.53: 19568+ A? ucenter.9939.com. (34)
22:34:49.315040 IP 193.125.143.127.36796 > 193.125.143.173.53: 19568+ A? shj2.yokacdn.com. (34)
22:34:49.322056 IP 193.125.143.151.41800 > 193.125.143.173.53: 19568+ A? focus.shonline.net. (36)
22:34:49.339785 IP 193.125.143.240.39990 > 193.125.143.173.53: 19568+ A? shj1.yokacdn.com. (34)
22:34:49.371133 IP 193.125.143.123.36279 > 193.125.143.173.53: 19568+ A? www.shengyijie.com.cn. (39)
22:34:49.393281 IP 193.125.143.224.33491 > 193.125.143.173.53: 19568+ A? ent.shonline.net. (34)
22:34:49.420509 IP 193.125.143.149.39289 > 193.125.143.173.53: 19568+ A? shs1.yokacdn.com. (34)
22:34:49.481800 IP 193.125.143.126.42055 > 193.125.143.173.53: 19568+ A? www.shonline.net. (34)
22:34:49.487203 IP 193.125.143.213.35548 > 193.125.143.173.53: 19568+ A? shop.9939.com. (31)
22:34:49.581143 IP 193.125.143.249.36160 > 193.125.143.173.53: 19568+ A? lady.shonline.net. (35)
22:34:49.636604 IP 193.125.143.133.39362 > 193.125.143.173.53: 19568+ A? shs2.yokacdn.com. (34)
22:34:49.652465 IP 193.125.143.255.33870 > 193.125.143.173.53: 19568+ A? www.120top.com. (32)
22:34:49.681143 IP 193.125.143.227.35567 > 193.125.143.173.53: 19568+ A? www.hao120.cc. (31)
22:34:49.718458 IP 193.125.143.218.39663 > 193.125.143.173.53: 19568+ A? ucctv.baofeng.com. (35)
22:34:49.761733 IP 193.125.143.197.38107 > 193.125.143.173.53: 19568+ A? auto.shonline.net. (35)
22:34:49.767906 IP 193.125.143.185.33060 > 193.125.143.173.53: 29469+ A? www.cnkankan.com. (34)
22:34:49.781308 IP 193.125.143.80.37002 > 193.125.143.173.53: 29469+ A? media.kxting.cn. (33)
22:34:49.782592 IP 193.125.143.168.37800 > 193.125.143.173.53: 29469+ A? tvepg.bbtv.cn. (31)
22:34:49.833143 IP 193.125.143.242.39216 > 193.125.143.173.53: 29469+ A? download1.38522.com.cdn20.com. (47)
22:34:49.867147 IP 193.125.143.185.35544 > 193.125.143.173.53: 29469+ A? oa.canmay.net. (31)
22:34:49.873852 IP 193.125.143.81.41122 > 193.125.143.173.53: 29469+ A? imga.4399.com. (31)
22:34:49.922820 IP 193.125.143.242.41190 > 193.125.143.173.53: 29469+ A? download2.38522.com.cdn20.com. (47)
22:34:49.978054 IP 193.125.144.10.38193 > 193.125.143.173.53: 29469+ A? www.4399.com. (30)
22:34:49.980704 IP 193.125.143.82.40564 > 193.125.143.173.53: 29469+ A? download.rappelz.com.my.lxdns.com. (51)

Share this post


Link to post
Share on other sites

На самом деле, конкретно запросы когда src ip==ip_dns-сервера ничем не страшны, если включен rp_filter на этом интерфейсе(или на всех(all)), т.к. существует запись вида ip_dns/32 в таблице local (смотреть ip ro li ta local), т.е. tcpdump пакеты ловит, но до приложения они не доходят. Но мало того, чтобы пакет с src ip, который уже есть на одном из интерфейсов сервера дошёл до приложения нужно, чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень

 

Но кроме запросов, где src ip==ip_dns-сервера приходит ещё куча запросов от "соседних" IP-адресов, хотят этих хостов реально нет, так что одной записью в iptables проблему не решить, её надо решать путём фильтрацией своих src_ip на пограничных маршрутизаторах.

Share this post


Link to post
Share on other sites
Ради интереса посмотрите в кеш, отравился?)

Так это...в моем это же даже не answer...это query.

Тем более действительно чтобы отравить кеш их как раз надо слать много.

 

 

чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень

Похоже что они действительно не долетают до приложения т.к. ответов на них ни на lo ни на физическом эзеренете не видно.

Share this post


Link to post
Share on other sites
чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень

Похоже что они действительно не долетают до приложения т.к. ответов на них ни на lo ни на физическом эзеренете не видно.

Есть способ лучше - rndc querylog и смотреть в логе - долетают или не долетают (если у Вас bind)

Share this post


Link to post
Share on other sites

Так это...в моем это же даже не answer...это query.

Ну тогда может хотят чтобы ваш днс сервак досил ответами якобы вопросившего.

Share this post


Link to post
Share on other sites
Так это...в моем это же даже не answer...это query.
Ну тогда может хотят чтобы ваш днс сервак досил ответами якобы вопросившего.

ИМХО нет, ну какой в этом смысл?

Если преследовать цель извлечения денег(что наиболее вероятно), то это ddos каких-то dns серверов(как предположил st_re). Принципы и логика примерно таковы:

1. В качестве source ip используются адреса, близкие к адресу самого сервера(см. пост от Дегтярева Ильи), т.к. с вероятностью близкой к 1 с них разрешена рекурсия(т.е. прикидываются хостами из "своей" AS, грубо говоря абонентами)

2. Если напрямую делать запросы к цели, подделывая IP, то можно спалиться и лавочку(отсутсвие проверки src ip) прикроют, а так атаку осуществляет ваш сервер.

3. Чтобы на каждый запрос генерился запрос к атакуемому NS-серверу можно запрашивать *.domain.tld (при этом domain.tld делегирован на атакуемой сервер, а * каждый раз разная)

Share this post


Link to post
Share on other sites
Судя по всему флудят ns*.glb0.lxdns.com

 

Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри.

А что - транзита у Вас не бывает?

Антиспуф вообще должен быть полиси по умолнанию, на входе. А на выходе - тут уже зависит от количества транзитных сетей. если их много, то фильтровать может быть очень накладно.

Но на входе - всяко надо.

Share this post


Link to post
Share on other sites
Судя по всему флудят ns*.glb0.lxdns.com

 

Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри.

А что - транзита у Вас не бывает?

 

 

свои то адреса снаружи точно не могут прийти. Их точно резать на границе AS.

 

А Вас NSы в ядре сети ? или напрямую обрабатывает транзитный трафик? Этакий NS-BGP-Router-10GBit ;) Вынесите сервера из бекбона в отдельную сеть и НА ЕЕ границе режьте спуфинг для этих, своих, сетей. Пограничный, он может быть на границе внутренней сети, а не AS...

 

Да, останется вероятность, что снаружи приедет запрос к Вашему ресолверу якобы от Вашего транзитного клиента (если Вы им вдруг даете такую возможность, хотя, казалось бы, зачем).... а это автоматическим скриптом заюзать уже посложнее, чем просто найти отвечающий 53 порт. и начать лить туда запросы из той же /24

Share this post


Link to post
Share on other sites

Таки есть способ найти откуда идет?

Share this post


Link to post
Share on other sites

Элементарно, Ватсон. добавляете ключик -e к tcpdump смотрите откуда оно пришло (по маку), идете туда, и смотрите откуда оно появилось там. И так далее по цепочке до программы, которая это генерит. Маленькое но. Цепочка может кончиться гденить в Зимбабве.. И по дороге помогать искать могут отказаться.

 

Закрыть на бордере входящие со своим src не помогает ? Тагда оно внутри. ;)

Share this post


Link to post
Share on other sites

Оно из вне приходит, то что закрыто и так ясно, просто сам процесс интересен и смысл.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this