ilia_2s Posted October 16, 2010 Posted October 16, 2010 Добрый день, господа. Требуется ваша помощь, по организации защиты от атаки на сервер доступа PPTP на базе микротика. С недавнего времени в логах появилось следующее: pptp info TCP connection established from XX.XX.XX.XX pptp ppp info <pptp-x> waiting for call... pptp ppp info <pptp-x> terminating... - cntrl message too big pptp ppp info <pptp-x> disconnected... Сообщения повторяются много раз в секунду. Адреса разные. В интернете информация очень скудная, точнее ее почти нет, но судя по всему это действительно атака на PPTP-сервер, с попытками отсыла разных сообщений при коннекте, возможно DOS, возможно попытка взлома. Прав ли я? Что пробовали: 1. Сменить IP сервера. Активность на какое-то время уменьшилась, но затем сново возрасла. Думаю что это связано с тем, что обслуживание идет на нескольких серверах, а клиенты знают только DNS-имя, которое естественно не менялось. 2. Делал правило, если соединений "NEW", по TCP 1723 больше 10 в мин, в бан лист, но почему-то в бан-лист попадают и клиенты, связываю это с тем, что микротик обрабатывает это правило по количеству присланных пакетов, тогда сколько ставить? Что скажите? Вставить ник Quote
ilia_2s Posted October 16, 2010 Author Posted October 16, 2010 Стал дампить пакеты: 04:28:58.489312 IP n219073049165.netvigator.com.davinci > ip-XX-XX-XX-XX.XXXXX.XXXXX.XX.pptp: P 1:69(68) ack 1 win 65535: pptp UNEXPECTED Magic-Cookie!!(546f7272) Magic-Cookie=546f7272 UNKNOWN_CTRL_MSGTYPE(25966) 0x0000: 4500 006c 0d04 4000 7406 304e db49 31a5 E..l..@.t.0N.I1. 0x0010: 4626 7625 09ee 06bb 1710 eaba c1f6 5b08 F&v%..........[. 0x0020: 5018 ffff 7c28 0000 1342 6974 546f 7272 P...|(...BitTorr 0x0030: 656e 7420 7072 6f74 6f63 6f6c 6578 0000 ent.protocolex.. 0x0040: 0000 0000 e46e 37e3 7241 990b e08e bf75 .....n7.rA.....u 0x0050: bc6a .j BitTorrent.protocol !!! удивился! Добавил правило, лочить P2P bit-torrent на порт 1723, в логах стало так: pptp info TCP connection established from XX.XX.XX.XX pptp ppp info <pptp-x> waiting for call... pptp ppp info <pptp-x> terminating... - could not connect - timed out pptp ppp info <pptp-x> disconnected... Как это понять? Вставить ник Quote
ilia_2s Posted October 16, 2010 Author Posted October 16, 2010 BotTorrent: Misusing BitTorrent to launch DDoS attacks DDos Vulnerability Analysis of BitTorrent protocol BotTorrent_1.pdf cs239spring06.pdf Вставить ник Quote
Fog Posted October 17, 2010 Posted October 17, 2010 у вас клиент с торентом есть у кого входящий порт торента такой же как и на сервере доступа pptp ppp?? Вставить ник Quote
ilia_2s Posted October 17, 2010 Author Posted October 17, 2010 Есть 1 клиент с открытым 1723, но он не за NAT, с реальным адресом (форвардинга нет, прозрачная маршрутизация), да и похоже у него реальный VPN там. Других активных клиентов с 1723 портом нету или уже нету, но так как торрент быстро инфу о раздающих обновляет, то склоняюсь к варианту с атакой, к тому же кол-во соединений возросло. Вставить ник Quote
Tosha Posted October 19, 2010 Posted October 19, 2010 Обычная DDOS. Защита от DDOS вещь сложная - лучше гуглите. Я думаю самое лучшее строить черные списки IP. Лично мне кажется, что идеально было бы чтобы PPTP писал в лог IP адреса с которыми соединение не установилось и по какой причине. 2-3 неудачи (по таким левым основаниям как "cntrl message too big") и добро пожаловать в черный список. Интересно это маскировка под торрент или реально таки кто-то устроил "эконом" DDOS через торрент? P.S. Может быть кто-то из пользователей торрента так неудачно для Вас (по закону подлости) ошибся. Попробуйте определить раздачу/трекер - спишитесь с админами пусть свяжутся с реальным раздающим. Вставить ник Quote
ilia_2s Posted October 19, 2010 Author Posted October 19, 2010 Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше. Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо. Вставить ник Quote
Дегтярев Илья Posted October 19, 2010 Posted October 19, 2010 А у вас случайно нат на нем не делается? Пронатили в адрес на интерфейсе - любой торрентщик регает на трекере ваш ип. Вставить ник Quote
ilia_2s Posted October 20, 2010 Author Posted October 20, 2010 Нат делается, но на другой адрес. На выходной адрес НАТа тоже была атака, но там сразу закрыли вообще все на вход. P.S.: Ну и тогда вопрос, как коллеги избегают ситуаций, когда происходит так как вы описали. И помоему торрент не прав, что использует не свои порты! Вставить ник Quote
Abram Posted October 20, 2010 Posted October 20, 2010 Для начала не давайте NAS-у внешней IP. Для маршрутизации он не нужен - можно между NAS-ом и бордером и по внутренним пакетики прогнать. Вставить ник Quote
ilia_2s Posted October 20, 2010 Author Posted October 20, 2010 ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP. Вставить ник Quote
Abram Posted October 20, 2010 Posted October 20, 2010 ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP. Вынести провайдеров на бордер, там NAT-ить и балансировать. :) Вставить ник Quote
ilia_2s Posted February 3, 2013 Author Posted February 3, 2013 Сеть распределенная! Да на самом деле тогда файрволом все порешалось... Правила, до сих пор живут Вставить ник Quote
NiTr0 Posted February 3, 2013 Posted February 3, 2013 А надо было всего-то зарезать коннекты из мира на 1723 порт... Вставить ник Quote
chetkiyparen Posted March 16, 2013 Posted March 16, 2013 (edited) Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше. Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо. таже самая ситуация и у меня, и не только у меня.... я бы закрыл 1723, то РРТР поднят только в целях внешнего подключения для мониторинга сети и т.д. и используется несколько раз в сутки по несколько минут и каждый раз заходить сначала по винбоксу, а потому уже открывать 1723 стало напрягать. Добавляю их айпишники в drop_list и дропаю на входе, но каждый день разные адреса и уже достало этим заниматься. подскажите как вы организовали занесение в бан лист всех, кто по 1723 не по рртр пытается попасть? Или может сделать одно правило дропания для всех кто из вне пытается зайти по 1723 не по рртр? Edited March 16, 2013 by chetkiyparen Вставить ник Quote
Bulbah Posted March 16, 2013 Posted March 16, 2013 Что скажите? А чуть раньше был даже умным. Отвечу твоим же ответом. после Введение: ТИ перестал читать. Я правильно угадал, что это: Что за некрофил откопал топик 2004 года!? рульный троллинг? Ужос. Наймите за пиво человека настроить сеть. Видимо за пиво и настроена. Адски плюсую! Та что мозги свои тормози, когда хочешь повыЁживаться. Вставить ник Quote
Saab95 Posted March 17, 2013 Posted March 17, 2013 Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает. Вставить ник Quote
SSD Posted March 17, 2013 Posted March 17, 2013 Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает. А разница какая? их так же перебором ломают. Вставить ник Quote
Ivan_83 Posted March 17, 2013 Posted March 17, 2013 Пусть себе ломают. Можно переехать на другой порт. Вставить ник Quote
chetkiyparen Posted March 17, 2013 Posted March 17, 2013 SSTP как я понял использует 443 порт, но вопрос не во взломе РРТР был, а в пакета , которые постоянно долбят по 1723... что мешает им долбиться также по 443? Вставить ник Quote
SSD Posted March 17, 2013 Posted March 17, 2013 Пусть себе ломают. Можно переехать на другой порт. Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :)) Вставить ник Quote
chetkiyparen Posted March 17, 2013 Posted March 17, 2013 включил SSTP, выбрал в ранее созданном тунеле в винде SSTP, вместо автоматически, но выдает ошибку 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат. что еще не хватает? Вставить ник Quote
Ivan_83 Posted March 17, 2013 Posted March 17, 2013 Обновления прошивки мт или пинания авторов. Вставить ник Quote
4ecHok Posted March 20, 2014 Posted March 20, 2014 как сменитьпорт Ivan_83 (17 марта 2013 - 11:52) писал: Пусть себе ломают. Можно переехать на другой порт. Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :)) подскажите как сменить порт для PPTP сервера ? Вставить ник Quote
SSD Posted March 20, 2014 Posted March 20, 2014 подскажите как сменить порт для PPTP сервера ? Если я не ошибаюсь, то никак. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.