Jump to content
Калькуляторы

Микротик PPTP NAS, ломают

Добрый день, господа. Требуется ваша помощь, по организации защиты от атаки на сервер доступа PPTP на базе микротика. С недавнего времени в логах появилось следующее:

 

pptp info TCP connection established from XX.XX.XX.XX

pptp ppp info <pptp-x> waiting for call...

pptp ppp info <pptp-x> terminating... - cntrl message too big

pptp ppp info <pptp-x> disconnected...

 

Сообщения повторяются много раз в секунду. Адреса разные.

 

В интернете информация очень скудная, точнее ее почти нет, но судя по всему это действительно атака на PPTP-сервер, с попытками отсыла разных сообщений при коннекте, возможно DOS, возможно попытка взлома. Прав ли я?

 

Что пробовали:

1. Сменить IP сервера. Активность на какое-то время уменьшилась, но затем сново возрасла. Думаю что это связано с тем, что обслуживание идет на нескольких серверах, а клиенты знают только DNS-имя, которое естественно не менялось.

2. Делал правило, если соединений "NEW", по TCP 1723 больше 10 в мин, в бан лист, но почему-то в бан-лист попадают и клиенты, связываю это с тем, что микротик обрабатывает это правило по количеству присланных пакетов, тогда сколько ставить?

 

Что скажите?

Share this post


Link to post
Share on other sites

Стал дампить пакеты:

 

04:28:58.489312 IP n219073049165.netvigator.com.davinci > ip-XX-XX-XX-XX.XXXXX.XXXXX.XX.pptp: P 1:69(68) ack 1 win 65535: pptp UNEXPECTED Magic-Cookie!!(546f7272) Magic-Cookie=546f7272 UNKNOWN_CTRL_MSGTYPE(25966)

0x0000: 4500 006c 0d04 4000 7406 304e db49 31a5 E..l..@.t.0N.I1.

0x0010: 4626 7625 09ee 06bb 1710 eaba c1f6 5b08 F&v%..........[.

0x0020: 5018 ffff 7c28 0000 1342 6974 546f 7272 P...|(...BitTorr

0x0030: 656e 7420 7072 6f74 6f63 6f6c 6578 0000 ent.protocolex..

0x0040: 0000 0000 e46e 37e3 7241 990b e08e bf75 .....n7.rA.....u

0x0050: bc6a .j

 

BitTorrent.protocol !!! удивился! Добавил правило, лочить P2P bit-torrent на порт 1723, в логах стало так:

 

pptp info TCP connection established from XX.XX.XX.XX

pptp ppp info <pptp-x> waiting for call...

pptp ppp info <pptp-x> terminating... - could not connect - timed out

pptp ppp info <pptp-x> disconnected...

 

Как это понять?

Share this post


Link to post
Share on other sites

у вас клиент с торентом есть у кого входящий порт торента такой же как и на сервере доступа pptp ppp??

Share this post


Link to post
Share on other sites

Есть 1 клиент с открытым 1723, но он не за NAT, с реальным адресом (форвардинга нет, прозрачная маршрутизация), да и похоже у него реальный VPN там. Других активных клиентов с 1723 портом нету или уже нету, но так как торрент быстро инфу о раздающих обновляет, то склоняюсь к варианту с атакой, к тому же кол-во соединений возросло.

Share this post


Link to post
Share on other sites

Обычная DDOS. Защита от DDOS вещь сложная - лучше гуглите.

 

Я думаю самое лучшее строить черные списки IP. Лично мне кажется, что идеально было бы чтобы PPTP писал в лог IP адреса с которыми соединение не установилось и по какой причине. 2-3 неудачи (по таким левым основаниям как "cntrl message too big") и добро пожаловать в черный список.

 

Интересно это маскировка под торрент или реально таки кто-то устроил "эконом" DDOS через торрент?

 

P.S. Может быть кто-то из пользователей торрента так неудачно для Вас (по закону подлости) ошибся. Попробуйте определить раздачу/трекер - спишитесь с админами пусть свяжутся с реальным раздающим.

Share this post


Link to post
Share on other sites

Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше.

 

Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо.

Share this post


Link to post
Share on other sites

Нат делается, но на другой адрес. На выходной адрес НАТа тоже была атака, но там сразу закрыли вообще все на вход.

 

P.S.: Ну и тогда вопрос, как коллеги избегают ситуаций, когда происходит так как вы описали. И помоему торрент не прав, что использует не свои порты!

Share this post


Link to post
Share on other sites

Для начала не давайте NAS-у внешней IP. Для маршрутизации он не нужен - можно между NAS-ом и бордером и по внутренним пакетики прогнать.

Share this post


Link to post
Share on other sites

ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP.

Share this post


Link to post
Share on other sites

ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP.

Вынести провайдеров на бордер, там NAT-ить и балансировать. :)

Share this post


Link to post
Share on other sites

Сеть распределенная! Да на самом деле тогда файрволом все порешалось... Правила, до сих пор живут

Share this post


Link to post
Share on other sites

А надо было всего-то зарезать коннекты из мира на 1723 порт...

Share this post


Link to post
Share on other sites

Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше.

 

Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо.

 

 

таже самая ситуация и у меня, и не только у меня....

я бы закрыл 1723, то РРТР поднят только в целях внешнего подключения для мониторинга сети и т.д. и используется несколько раз в сутки по несколько минут и каждый раз заходить сначала по винбоксу, а потому уже открывать 1723 стало напрягать.

Добавляю их айпишники в drop_list и дропаю на входе, но каждый день разные адреса и уже достало этим заниматься.

 

подскажите как вы организовали занесение в бан лист всех, кто по 1723 не по рртр пытается попасть? Или может сделать одно правило дропания для всех кто из вне пытается зайти по 1723 не по рртр?

Edited by chetkiyparen

Share this post


Link to post
Share on other sites

Что скажите?

 

А чуть раньше был даже умным.

Отвечу твоим же ответом.

 

после

Введение: ТИ

 

перестал читать.

 

Я правильно угадал, что это:

Что за некрофил откопал топик 2004 года!?

 

рульный троллинг?

 

 

 

Ужос. Наймите за пиво человека настроить сеть.

 

 

Видимо за пиво и настроена.

 

Адски плюсую!

 

Та что мозги свои тормози, когда хочешь повыЁживаться.

Share this post


Link to post
Share on other sites

Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает.

Share this post


Link to post
Share on other sites

Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает.

А разница какая? их так же перебором ломают.

Share this post


Link to post
Share on other sites

Пусть себе ломают.

Можно переехать на другой порт.

Share this post


Link to post
Share on other sites

SSTP как я понял использует 443 порт, но вопрос не во взломе РРТР был, а в пакета , которые постоянно долбят по 1723... что мешает им долбиться также по 443?

Share this post


Link to post
Share on other sites

Пусть себе ломают.

Можно переехать на другой порт.

Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :))

Share this post


Link to post
Share on other sites

включил SSTP, выбрал в ранее созданном тунеле в винде SSTP, вместо автоматически, но выдает ошибку 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат.

что еще не хватает?

Share this post


Link to post
Share on other sites

Обновления прошивки мт или пинания авторов.

Share this post


Link to post
Share on other sites

как сменитьпорт

Ivan_83 (17 марта 2013 - 11:52) писал:

Пусть себе ломают.

Можно переехать на другой порт.

 

Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :))

 

подскажите как сменить порт для PPTP сервера ?

Share this post


Link to post
Share on other sites

подскажите как сменить порт для PPTP сервера ?

Если я не ошибаюсь, то никак.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this