Перейти к содержимому
Калькуляторы

Микротик PPTP NAS, ломают

Добрый день, господа. Требуется ваша помощь, по организации защиты от атаки на сервер доступа PPTP на базе микротика. С недавнего времени в логах появилось следующее:

 

pptp info TCP connection established from XX.XX.XX.XX

pptp ppp info <pptp-x> waiting for call...

pptp ppp info <pptp-x> terminating... - cntrl message too big

pptp ppp info <pptp-x> disconnected...

 

Сообщения повторяются много раз в секунду. Адреса разные.

 

В интернете информация очень скудная, точнее ее почти нет, но судя по всему это действительно атака на PPTP-сервер, с попытками отсыла разных сообщений при коннекте, возможно DOS, возможно попытка взлома. Прав ли я?

 

Что пробовали:

1. Сменить IP сервера. Активность на какое-то время уменьшилась, но затем сново возрасла. Думаю что это связано с тем, что обслуживание идет на нескольких серверах, а клиенты знают только DNS-имя, которое естественно не менялось.

2. Делал правило, если соединений "NEW", по TCP 1723 больше 10 в мин, в бан лист, но почему-то в бан-лист попадают и клиенты, связываю это с тем, что микротик обрабатывает это правило по количеству присланных пакетов, тогда сколько ставить?

 

Что скажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стал дампить пакеты:

 

04:28:58.489312 IP n219073049165.netvigator.com.davinci > ip-XX-XX-XX-XX.XXXXX.XXXXX.XX.pptp: P 1:69(68) ack 1 win 65535: pptp UNEXPECTED Magic-Cookie!!(546f7272) Magic-Cookie=546f7272 UNKNOWN_CTRL_MSGTYPE(25966)

0x0000: 4500 006c 0d04 4000 7406 304e db49 31a5 E..l..@.t.0N.I1.

0x0010: 4626 7625 09ee 06bb 1710 eaba c1f6 5b08 F&v%..........[.

0x0020: 5018 ffff 7c28 0000 1342 6974 546f 7272 P...|(...BitTorr

0x0030: 656e 7420 7072 6f74 6f63 6f6c 6578 0000 ent.protocolex..

0x0040: 0000 0000 e46e 37e3 7241 990b e08e bf75 .....n7.rA.....u

0x0050: bc6a .j

 

BitTorrent.protocol !!! удивился! Добавил правило, лочить P2P bit-torrent на порт 1723, в логах стало так:

 

pptp info TCP connection established from XX.XX.XX.XX

pptp ppp info <pptp-x> waiting for call...

pptp ppp info <pptp-x> terminating... - could not connect - timed out

pptp ppp info <pptp-x> disconnected...

 

Как это понять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

BotTorrent: Misusing BitTorrent to launch DDoS attacks

 

DDos Vulnerability Analysis of BitTorrent protocol

BotTorrent_1.pdf

cs239spring06.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у вас клиент с торентом есть у кого входящий порт торента такой же как и на сервере доступа pptp ppp??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть 1 клиент с открытым 1723, но он не за NAT, с реальным адресом (форвардинга нет, прозрачная маршрутизация), да и похоже у него реальный VPN там. Других активных клиентов с 1723 портом нету или уже нету, но так как торрент быстро инфу о раздающих обновляет, то склоняюсь к варианту с атакой, к тому же кол-во соединений возросло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычная DDOS. Защита от DDOS вещь сложная - лучше гуглите.

 

Я думаю самое лучшее строить черные списки IP. Лично мне кажется, что идеально было бы чтобы PPTP писал в лог IP адреса с которыми соединение не установилось и по какой причине. 2-3 неудачи (по таким левым основаниям как "cntrl message too big") и добро пожаловать в черный список.

 

Интересно это маскировка под торрент или реально таки кто-то устроил "эконом" DDOS через торрент?

 

P.S. Может быть кто-то из пользователей торрента так неудачно для Вас (по закону подлости) ошибся. Попробуйте определить раздачу/трекер - спишитесь с админами пусть свяжутся с реальным раздающим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше.

 

Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у вас случайно нат на нем не делается? Пронатили в адрес на интерфейсе - любой торрентщик регает на трекере ваш ип.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нат делается, но на другой адрес. На выходной адрес НАТа тоже была атака, но там сразу закрыли вообще все на вход.

 

P.S.: Ну и тогда вопрос, как коллеги избегают ситуаций, когда происходит так как вы описали. И помоему торрент не прав, что использует не свои порты!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала не давайте NAS-у внешней IP. Для маршрутизации он не нужен - можно между NAS-ом и бордером и по внутренним пакетики прогнать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP.

Вынести провайдеров на бордер, там NAT-ить и балансировать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеть распределенная! Да на самом деле тогда файрволом все порешалось... Правила, до сих пор живут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А надо было всего-то зарезать коннекты из мира на 1723 порт...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше.

 

Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо.

 

 

таже самая ситуация и у меня, и не только у меня....

я бы закрыл 1723, то РРТР поднят только в целях внешнего подключения для мониторинга сети и т.д. и используется несколько раз в сутки по несколько минут и каждый раз заходить сначала по винбоксу, а потому уже открывать 1723 стало напрягать.

Добавляю их айпишники в drop_list и дропаю на входе, но каждый день разные адреса и уже достало этим заниматься.

 

подскажите как вы организовали занесение в бан лист всех, кто по 1723 не по рртр пытается попасть? Или может сделать одно правило дропания для всех кто из вне пытается зайти по 1723 не по рртр?

Изменено пользователем chetkiyparen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что скажите?

 

А чуть раньше был даже умным.

Отвечу твоим же ответом.

 

после

Введение: ТИ

 

перестал читать.

 

Я правильно угадал, что это:

Что за некрофил откопал топик 2004 года!?

 

рульный троллинг?

 

 

 

Ужос. Наймите за пиво человека настроить сеть.

 

 

Видимо за пиво и настроена.

 

Адски плюсую!

 

Та что мозги свои тормози, когда хочешь повыЁживаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает.

А разница какая? их так же перебором ломают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пусть себе ломают.

Можно переехать на другой порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSTP как я понял использует 443 порт, но вопрос не во взломе РРТР был, а в пакета , которые постоянно долбят по 1723... что мешает им долбиться также по 443?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пусть себе ломают.

Можно переехать на другой порт.

Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

включил SSTP, выбрал в ранее созданном тунеле в винде SSTP, вместо автоматически, но выдает ошибку 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат.

что еще не хватает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновления прошивки мт или пинания авторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как сменитьпорт

Ivan_83 (17 марта 2013 - 11:52) писал:

Пусть себе ломают.

Можно переехать на другой порт.

 

Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :))

 

подскажите как сменить порт для PPTP сервера ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите как сменить порт для PPTP сервера ?

Если я не ошибаюсь, то никак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.