[xDream]

Всем привет!

Обнаружили вот такое:

[root@server xdream]# tcpdump dst server_ip and src server_ip      
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ether1, link-type EN10MB (Ethernet), capture size 96 bytes
17:06:12.537073 IP server.36717 > server.domain:  17954+ A? img3.2125.com. (31)
17:06:13.330042 IP server.38671 > server.domain:  17954+ A? emotion.self.com.cn. (37)
17:06:25.003532 IP server.35671 > server.domain:  17954+ A? www.7caihua.com.cn. (36)
17:06:25.351711 IP server.40541 > server.domain:  17954+ A? food.21cn.com. (31)
17:06:38.645049 IP server.36041 > server.domain:  17954+ A? img2.trends.com.cn. (36)
17:06:54.625507 IP server.38749 > server.domain:  17954+ A? soap.hunantv.com. (34)
17:07:14.209061 IP server.34937 > server.domain:  17954+ A? hao7.9355.com. (31)
17:07:15.767718 IP server.42510 > server.domain:  17954+ A? www.go9939.net. (32)
17:07:24.986115 IP server.40832 > server.domain:  17954+ A? ss.tiancity.com. (33)
17:07:27.896557 IP server.37746 > server.domain:  17954+ A? ws6.cdntest.cdn20.com. (39)
17:07:31.330315 IP server.40957 > server.domain:  17954+ A? testfile15.top100.cn.lxdns.com. (48)
17:07:31.461470 IP server.35453 > server.domain:  17954+ A? yx.ccjoy.com. (30)
17:07:34.353925 IP server.38285 > server.domain:  17954+ A? testfile16.top100.cn.lxdns.com. (48)
17:07:41.957455 IP server.41852 > server.domain:  17954+ A? pic1.kaixin001.com.cn. (39)
17:07:43.064752 IP server.33019 > server.domain:  17954+ A? mc.lezi.com. (29)
17:07:47.963826 IP server.40601 > server.domain:  17954+ A? strp2.yokacdn.com. (35)
17:07:53.515498 IP server.36584 > server.domain:  17954+ A? static.zoomino.cn. (35)
17:07:56.397206 IP server.40160 > server.domain:  17954+ A? live.t.21cn.com. (33)
17:08:04.671937 IP server.41393 > server.domain:  17954+ A? www.52tiancai.com. (35)
17:08:05.027101 IP server.40346 > server.domain:  17954+ A? www.51amk.com. (31)
17:08:06.906673 IP server.38944 > server.domain:  17954+ A? www.fy88.net. (30)
17:08:08.165904 IP server.38434 > server.domain:  17954+ A? mymm.qidian.com. (33)
17:08:11.289954 IP server.42063 > server.domain:  17954+ A? down1.qidian.com. (34)
17:08:19.652012 IP server.37990 > server.domain:  17954+ A? lehuo.27.cn. (29)
17:08:34.281407 IP server.35215 > server.domain:  17954+ A? stream17.qqmusic.qq.com. (41)
17:08:42.409598 IP server.42172 > server.domain:  17954+ A? partuza.gzonline.net. (38)
17:08:45.944547 IP server.36151 > server.domain:  17954+ A? img2.27.cn. (28)
17:09:16.319537 IP server.38907 > server.domain:  17954+ A? sdo.loong3d.com. (33)
17:09:26.734039 IP server.38621 > server.domain:  17954+ A? www.greedland.net. (35)

 

Т.е. на сервер приходят пакеты с подмененным IP адресом (равнм адресу самого сервера)

Подскажить что это такое и опасно ли?

[s.lobanov]

Вы уже выяснили откуда они идут - снаружи или изнутри Вашей AS?

[st_re]

Судя по всему флудят ns*.glb0.lxdns.com

 

Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри.

 

 

[Deac]

А у нас было! :)

deny all from any to any not verrevpath in

deny all from any to any not versrcreach in

и даже

deny all from any to any not antispoof in

 

Just use FreeBSD

 

[Ilya Evseev]

Я, конечно, понимаю, что ether1 и lo* - это разные интерфейсы,

но не может ли быть такого, что заражён сам сервер?

 

Если tcpdump запустить с ключом "-e", какой MAC-адрес отправителя он покажет?

[xDream]

Добрый день.

s.lobanov, Нет не выяснили... А как? Вот тут на форуме похожая тема есть - пытются понять откуда идет DoS атака с подмененным IP и вроде без результатно.

 

st_re, Deac Зафильровать думаю самое простое IPTABLESом на этом же сервере. Это не DoS, пакетов таких не много...Ну может штук 10-20 в минуту. Вот вопрос - скакой целью их могут слать? Может это какая-то типовая атака с целью подменить адреса в кеше DNS-сервера или типа такого?

 

Ilya Evseev Мак отправителя - циска которая является дефолтным шлюзом для этого сервера. Т.е. пакеты летят извне.

[Deac]

Не просто зафильтровать, а избавиться от подобного мусора как класса, а потом уже, добавив нотацию "log", медитировать о назначении пакетов и целях их отправителей.

[orlik]

Всем привет!

Обнаружили вот такое:

[root@server xdream]# tcpdump dst server_ip and src server_ip      
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ether1, link-type EN10MB (Ethernet), capture size 96 bytes
17:06:12.537073 IP server.36717 > server.domain:  17954+ A? img3.2125.com. (31)
17:06:13.330042 IP server.38671 > server.domain:  17954+ A? emotion.self.com.cn. (37)
17:06:25.003532 IP server.35671 > server.domain:  17954+ A? www.7caihua.com.cn. (36)
17:06:25.351711 IP server.40541 > server.domain:  17954+ A? food.21cn.com. (31)
17:06:38.645049 IP server.36041 > server.domain:  17954+ A? img2.trends.com.cn. (36)
17:06:54.625507 IP server.38749 > server.domain:  17954+ A? soap.hunantv.com. (34)
17:07:14.209061 IP server.34937 > server.domain:  17954+ A? hao7.9355.com. (31)
17:07:15.767718 IP server.42510 > server.domain:  17954+ A? www.go9939.net. (32)
17:07:24.986115 IP server.40832 > server.domain:  17954+ A? ss.tiancity.com. (33)
17:07:27.896557 IP server.37746 > server.domain:  17954+ A? ws6.cdntest.cdn20.com. (39)
17:07:31.330315 IP server.40957 > server.domain:  17954+ A? testfile15.top100.cn.lxdns.com. (48)
17:07:31.461470 IP server.35453 > server.domain:  17954+ A? yx.ccjoy.com. (30)
17:07:34.353925 IP server.38285 > server.domain:  17954+ A? testfile16.top100.cn.lxdns.com. (48)
17:07:41.957455 IP server.41852 > server.domain:  17954+ A? pic1.kaixin001.com.cn. (39)
17:07:43.064752 IP server.33019 > server.domain:  17954+ A? mc.lezi.com. (29)
17:07:47.963826 IP server.40601 > server.domain:  17954+ A? strp2.yokacdn.com. (35)
17:07:53.515498 IP server.36584 > server.domain:  17954+ A? static.zoomino.cn. (35)
17:07:56.397206 IP server.40160 > server.domain:  17954+ A? live.t.21cn.com. (33)
17:08:04.671937 IP server.41393 > server.domain:  17954+ A? www.52tiancai.com. (35)
17:08:05.027101 IP server.40346 > server.domain:  17954+ A? www.51amk.com. (31)
17:08:06.906673 IP server.38944 > server.domain:  17954+ A? www.fy88.net. (30)
17:08:08.165904 IP server.38434 > server.domain:  17954+ A? mymm.qidian.com. (33)
17:08:11.289954 IP server.42063 > server.domain:  17954+ A? down1.qidian.com. (34)
17:08:19.652012 IP server.37990 > server.domain:  17954+ A? lehuo.27.cn. (29)
17:08:34.281407 IP server.35215 > server.domain:  17954+ A? stream17.qqmusic.qq.com. (41)
17:08:42.409598 IP server.42172 > server.domain:  17954+ A? partuza.gzonline.net. (38)
17:08:45.944547 IP server.36151 > server.domain:  17954+ A? img2.27.cn. (28)
17:09:16.319537 IP server.38907 > server.domain:  17954+ A? sdo.loong3d.com. (33)
17:09:26.734039 IP server.38621 > server.domain:  17954+ A? www.greedland.net. (35)

 

Т.е. на сервер приходят пакеты с подмененным IP адресом (равнм адресу самого сервера)

Подскажить что это такое и опасно ли?

покажите /etc/resolv.conf , у вас там случаем не прописан ваш же ip

 

[Deac]

Там же написано: "Мак отправителя - циска которая является дефолтным шлюзом для этого сервера. Т.е. пакеты летят извне. "

[Ivan_83]

Это попытка(?) отравления днс кеша, не более.

Так редко потому что для кеша чаще не нужно, и возможно сами записи обновляются раз в минуту.

 

Ради интереса посмотрите в кеш, отравился?)

[alexmern]

Да, в последнее время тоже такая фигня стала более интенсивно идти с внешки с подменными ip:

 

Вот что за секунду приходит на сетку /22

23:13:05.025832 IP *.*.173.236.41117 > *.*.174.2.53:  29469+ A? vwcupws.video.qq.com. (38)
23:13:05.036068 IP *.*.174.53.32990 > *.*.174.2.53:  19568+ A? www.chinafeedonline.com. (41)
23:13:05.049480 IP *.*.174.93.34047 > *.*.174.2.53:  29469+ A? img5.cache.netease.com. (40)
23:13:05.063112 IP *.*.174.80.33202 > *.*.174.2.53:  29469+ A? wq.wtgame.net. (31)
23:13:05.066746 IP *.*.172.96.33202 > *.*.172.1.53:  29469+ A? wq.wtgame.net. (31)
23:13:05.115442 IP *.*.172.85.34341 > *.*.172.1.53:  29469+ A? images.youshang.com. (37)
23:13:05.122734 IP *.*.173.247.39261 > *.*.174.2.53:  29469+ A? popme.163.com. (31)
23:13:05.126754 IP *.*.174.85.34341 > *.*.174.2.53:  29469+ A? images.youshang.com. (37)
23:13:05.156717 IP *.*.173.177.36522 > *.*.174.2.53:  29469+ A? www.babeltime.com. (35)
23:13:05.208089 IP *.*.174.18.41796 > *.*.174.2.53:  29469+ A? proimg.163.com. (32)
23:13:05.216506 IP *.*.172.35.41796 > *.*.172.1.53:  29469+ A? proimg.163.com. (32)
23:13:05.219125 IP *.*.172.98.35967 > *.*.172.1.53:  29469+ A? res.youshang.com. (34)
23:13:05.224588 IP *.*.174.85.35967 > *.*.174.2.53:  29469+ A? res.youshang.com. (34)
23:13:05.226188 IP *.*.173.211.40291 > *.*.174.2.53:  29469+ A? static.kaixin001.babeltime.com. (48)
23:13:05.673575 IP *.*.173.220.40589 > *.*.174.2.53:  19568+ A? gdl0102.linekong.com. (38)
23:13:05.741617 IP *.*.173.236.33440 > *.*.174.2.53:  19568+ A? html.5173cdn.com. (34)
23:13:05.804414 IP *.*.172.38.33608 > *.*.172.1.53:  19568+ A? admin.51auto.com. (34)
23:13:05.846405 IP *.*.172.92.39523 > *.*.172.1.53:  29469+ A? img6.cache.netease.com. (40)
23:13:05.851243 IP *.*.174.40.34700 > *.*.174.2.53:  19568+ A? images003.5173cdn.com. (39)
23:13:05.854484 IP *.*.173.251.39523 > *.*.174.2.53:  29469+ A? img6.cache.netease.com. (40)
23:13:05.855591 IP *.*.173.166.40190 > *.*.174.2.53:  29469+ A? downloads.youshang.com. (40)
23:13:05.858903 IP *.*.172.23.41197 > *.*.172.1.53:  19568+ A? news.wokchina.com. (35)
23:13:05.867618 IP *.*.174.97.39285 > *.*.174.2.53:  19568+ A? picture.51auto.com. (36)
23:13:05.871416 IP *.*.174.80.42036 > *.*.174.2.53:  29469+ A? ebuy.skoda.com.cn. (35)
23:13:05.928966 IP *.*.174.60.41876 > *.*.174.2.53:  29469+ A? adimg.163.com. (31)
23:13:05.939680 IP *.*.173.192.34682 > *.*.174.2.53:  29469+ A? image.dhgate.cdn20.com. (40)
23:13:05.948851 IP *.*.174.7.36003 > *.*.174.2.53:  29469+ A? www.go2eu.com. (31)
23:13:05.949234 IP *.*.172.56.36003 > *.*.172.1.53:  29469+ A? www.go2eu.com. (31)
23:13:05.956666 IP *.*.173.218.39381 > *.*.174.2.53:  19568+ A? gdl0201.linekong.com. (38)
23:13:05.996192 IP *.*.172.17.39580 > *.*.172.1.53:  19568+ A? helpcenter.5173cdn.com. (40)

Изменено 1 октября, 2010 пользователем alexmern

[st_re]

Еще раз, рискну предположить что это флуд на нейм сервера. Все домены не смотрел, но тот десяток, что я проверил в ваших списках указывали на 1 набор нейм серверов где то в районе lxdns.com.

 

Вариант с отравлением кеша для этих доменов... Слишком много доменов, и время жизни там не большое. Мало шансов, что прокатит что то реальное.

 

Это к Вам идет по 10 в минуту... Если такого рода запросы в разные стороны катят тысячами, то этими же тысячами оно валит на нейм сервера

[Дегтярев Илья]

У нас аналогично:

22:34:49.050146 IP 193.125.143.158.42559 > 193.125.143.173.53: 29469+ A? aaa.bbtv.cn. (29)
22:34:49.052565 IP 193.125.143.240.40260 > 193.125.143.173.53: 29469+ A? 231wg.com. (27)
22:34:49.065143 IP 193.125.143.232.34767 > 193.125.143.173.53: 29469+ A? assets.fobaby.com. (35)
22:34:49.127022 IP 193.125.143.209.35321 > 193.125.143.173.53: 29469+ A? cnkankan.com. (30)
22:34:49.141143 IP 193.125.143.135.37846 > 193.125.143.173.53: 29469+ A? tvpic.bbtv.cn. (31)
22:34:49.161143 IP 193.125.143.161.40628 > 193.125.143.173.53: 29469+ A? webgame.woolearn.com. (38)
22:34:49.194813 IP 193.125.143.171.37314 > 193.125.143.173.53: 19568+ A? www.875.cn. (28)
22:34:49.305229 IP 193.125.143.136.35277 > 193.125.143.173.53: 19568+ A? ren.bjonline.net. (34)
22:34:49.309398 IP 193.125.143.176.41184 > 193.125.143.173.53: 19568+ A? ucenter.9939.com. (34)
22:34:49.315040 IP 193.125.143.127.36796 > 193.125.143.173.53: 19568+ A? shj2.yokacdn.com. (34)
22:34:49.322056 IP 193.125.143.151.41800 > 193.125.143.173.53: 19568+ A? focus.shonline.net. (36)
22:34:49.339785 IP 193.125.143.240.39990 > 193.125.143.173.53: 19568+ A? shj1.yokacdn.com. (34)
22:34:49.371133 IP 193.125.143.123.36279 > 193.125.143.173.53: 19568+ A? www.shengyijie.com.cn. (39)
22:34:49.393281 IP 193.125.143.224.33491 > 193.125.143.173.53: 19568+ A? ent.shonline.net. (34)
22:34:49.420509 IP 193.125.143.149.39289 > 193.125.143.173.53: 19568+ A? shs1.yokacdn.com. (34)
22:34:49.481800 IP 193.125.143.126.42055 > 193.125.143.173.53: 19568+ A? www.shonline.net. (34)
22:34:49.487203 IP 193.125.143.213.35548 > 193.125.143.173.53: 19568+ A? shop.9939.com. (31)
22:34:49.581143 IP 193.125.143.249.36160 > 193.125.143.173.53: 19568+ A? lady.shonline.net. (35)
22:34:49.636604 IP 193.125.143.133.39362 > 193.125.143.173.53: 19568+ A? shs2.yokacdn.com. (34)
22:34:49.652465 IP 193.125.143.255.33870 > 193.125.143.173.53: 19568+ A? www.120top.com. (32)
22:34:49.681143 IP 193.125.143.227.35567 > 193.125.143.173.53: 19568+ A? www.hao120.cc. (31)
22:34:49.718458 IP 193.125.143.218.39663 > 193.125.143.173.53: 19568+ A? ucctv.baofeng.com. (35)
22:34:49.761733 IP 193.125.143.197.38107 > 193.125.143.173.53: 19568+ A? auto.shonline.net. (35)
22:34:49.767906 IP 193.125.143.185.33060 > 193.125.143.173.53: 29469+ A? www.cnkankan.com. (34)
22:34:49.781308 IP 193.125.143.80.37002 > 193.125.143.173.53: 29469+ A? media.kxting.cn. (33)
22:34:49.782592 IP 193.125.143.168.37800 > 193.125.143.173.53: 29469+ A? tvepg.bbtv.cn. (31)
22:34:49.833143 IP 193.125.143.242.39216 > 193.125.143.173.53: 29469+ A? download1.38522.com.cdn20.com. (47)
22:34:49.867147 IP 193.125.143.185.35544 > 193.125.143.173.53: 29469+ A? oa.canmay.net. (31)
22:34:49.873852 IP 193.125.143.81.41122 > 193.125.143.173.53: 29469+ A? imga.4399.com. (31)
22:34:49.922820 IP 193.125.143.242.41190 > 193.125.143.173.53: 29469+ A? download2.38522.com.cdn20.com. (47)
22:34:49.978054 IP 193.125.144.10.38193 > 193.125.143.173.53: 29469+ A? www.4399.com. (30)
22:34:49.980704 IP 193.125.143.82.40564 > 193.125.143.173.53: 29469+ A? download.rappelz.com.my.lxdns.com. (51)

[s.lobanov]

На самом деле, конкретно запросы когда src ip==ip_dns-сервера ничем не страшны, если включен rp_filter на этом интерфейсе(или на всех(all)), т.к. существует запись вида ip_dns/32 в таблице local (смотреть ip ro li ta local), т.е. tcpdump пакеты ловит, но до приложения они не доходят. Но мало того, чтобы пакет с src ip, который уже есть на одном из интерфейсов сервера дошёл до приложения нужно, чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень

 

Но кроме запросов, где src ip==ip_dns-сервера приходит ещё куча запросов от "соседних" IP-адресов, хотят этих хостов реально нет, так что одной записью в iptables проблему не решить, её надо решать путём фильтрацией своих src_ip на пограничных маршрутизаторах.

[xDream]

Ради интереса посмотрите в кеш, отравился?)

Так это...в моем это же даже не answer...это query.

Тем более действительно чтобы отравить кеш их как раз надо слать много.

 

 

чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень

Похоже что они действительно не долетают до приложения т.к. ответов на них ни на lo ни на физическом эзеренете не видно.

[s.lobanov]

чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень

Похоже что они действительно не долетают до приложения т.к. ответов на них ни на lo ни на физическом эзеренете не видно.

Есть способ лучше - rndc querylog и смотреть в логе - долетают или не долетают (если у Вас bind)

[Ivan_83]

Так это...в моем это же даже не answer...это query.

Ну тогда может хотят чтобы ваш днс сервак досил ответами якобы вопросившего.

[s.lobanov]

Так это...в моем это же даже не answer...это query.

Ну тогда может хотят чтобы ваш днс сервак досил ответами якобы вопросившего.

ИМХО нет, ну какой в этом смысл?

Если преследовать цель извлечения денег(что наиболее вероятно), то это ddos каких-то dns серверов(как предположил st_re). Принципы и логика примерно таковы:

1. В качестве source ip используются адреса, близкие к адресу самого сервера(см. пост от Дегтярева Ильи), т.к. с вероятностью близкой к 1 с них разрешена рекурсия(т.е. прикидываются хостами из "своей" AS, грубо говоря абонентами)

2. Если напрямую делать запросы к цели, подделывая IP, то можно спалиться и лавочку(отсутсвие проверки src ip) прикроют, а так атаку осуществляет ваш сервер.

3. Чтобы на каждый запрос генерился запрос к атакуемому NS-серверу можно запрашивать *.domain.tld (при этом domain.tld делегирован на атакуемой сервер, а * каждый раз разная)

[Ainy]

Судя по всему флудят ns*.glb0.lxdns.com

 

Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри.

А что - транзита у Вас не бывает?

Антиспуф вообще должен быть полиси по умолнанию, на входе. А на выходе - тут уже зависит от количества транзитных сетей. если их много, то фильтровать может быть очень накладно.

Но на входе - всяко надо.

[st_re]

Судя по всему флудят ns*.glb0.lxdns.com

 

Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри.

А что - транзита у Вас не бывает?

 

 

свои то адреса снаружи точно не могут прийти. Их точно резать на границе AS.

 

А Вас NSы в ядре сети ? или напрямую обрабатывает транзитный трафик? Этакий NS-BGP-Router-10GBit ;) Вынесите сервера из бекбона в отдельную сеть и НА ЕЕ границе режьте спуфинг для этих, своих, сетей. Пограничный, он может быть на границе внутренней сети, а не AS...

 

Да, останется вероятность, что снаружи приедет запрос к Вашему ресолверу якобы от Вашего транзитного клиента (если Вы им вдруг даете такую возможность, хотя, казалось бы, зачем).... а это автоматическим скриптом заюзать уже посложнее, чем просто найти отвечающий 53 порт. и начать лить туда запросы из той же /24

[Slad]

Таки есть способ найти откуда идет?

[st_re]

Элементарно, Ватсон. добавляете ключик -e к tcpdump смотрите откуда оно пришло (по маку), идете туда, и смотрите откуда оно появилось там. И так далее по цепочке до программы, которая это генерит. Маленькое но. Цепочка может кончиться гденить в Зимбабве.. И по дороге помогать искать могут отказаться.

 

Закрыть на бордере входящие со своим src не помогает ? Тагда оно внутри. ;)

[Slad]

Оно из вне приходит, то что закрыто и так ясно, просто сам процесс интересен и смысл.