ilia_2s Опубликовано 16 октября, 2010 · Жалоба Добрый день, господа. Требуется ваша помощь, по организации защиты от атаки на сервер доступа PPTP на базе микротика. С недавнего времени в логах появилось следующее: pptp info TCP connection established from XX.XX.XX.XX pptp ppp info <pptp-x> waiting for call... pptp ppp info <pptp-x> terminating... - cntrl message too big pptp ppp info <pptp-x> disconnected... Сообщения повторяются много раз в секунду. Адреса разные. В интернете информация очень скудная, точнее ее почти нет, но судя по всему это действительно атака на PPTP-сервер, с попытками отсыла разных сообщений при коннекте, возможно DOS, возможно попытка взлома. Прав ли я? Что пробовали: 1. Сменить IP сервера. Активность на какое-то время уменьшилась, но затем сново возрасла. Думаю что это связано с тем, что обслуживание идет на нескольких серверах, а клиенты знают только DNS-имя, которое естественно не менялось. 2. Делал правило, если соединений "NEW", по TCP 1723 больше 10 в мин, в бан лист, но почему-то в бан-лист попадают и клиенты, связываю это с тем, что микротик обрабатывает это правило по количеству присланных пакетов, тогда сколько ставить? Что скажите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 16 октября, 2010 · Жалоба Стал дампить пакеты: 04:28:58.489312 IP n219073049165.netvigator.com.davinci > ip-XX-XX-XX-XX.XXXXX.XXXXX.XX.pptp: P 1:69(68) ack 1 win 65535: pptp UNEXPECTED Magic-Cookie!!(546f7272) Magic-Cookie=546f7272 UNKNOWN_CTRL_MSGTYPE(25966) 0x0000: 4500 006c 0d04 4000 7406 304e db49 31a5 E..l..@.t.0N.I1. 0x0010: 4626 7625 09ee 06bb 1710 eaba c1f6 5b08 F&v%..........[. 0x0020: 5018 ffff 7c28 0000 1342 6974 546f 7272 P...|(...BitTorr 0x0030: 656e 7420 7072 6f74 6f63 6f6c 6578 0000 ent.protocolex.. 0x0040: 0000 0000 e46e 37e3 7241 990b e08e bf75 .....n7.rA.....u 0x0050: bc6a .j BitTorrent.protocol !!! удивился! Добавил правило, лочить P2P bit-torrent на порт 1723, в логах стало так: pptp info TCP connection established from XX.XX.XX.XX pptp ppp info <pptp-x> waiting for call... pptp ppp info <pptp-x> terminating... - could not connect - timed out pptp ppp info <pptp-x> disconnected... Как это понять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 16 октября, 2010 · Жалоба BotTorrent: Misusing BitTorrent to launch DDoS attacks DDos Vulnerability Analysis of BitTorrent protocol BotTorrent_1.pdf cs239spring06.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fog Опубликовано 17 октября, 2010 · Жалоба у вас клиент с торентом есть у кого входящий порт торента такой же как и на сервере доступа pptp ppp?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 17 октября, 2010 · Жалоба Есть 1 клиент с открытым 1723, но он не за NAT, с реальным адресом (форвардинга нет, прозрачная маршрутизация), да и похоже у него реальный VPN там. Других активных клиентов с 1723 портом нету или уже нету, но так как торрент быстро инфу о раздающих обновляет, то склоняюсь к варианту с атакой, к тому же кол-во соединений возросло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 19 октября, 2010 · Жалоба Обычная DDOS. Защита от DDOS вещь сложная - лучше гуглите. Я думаю самое лучшее строить черные списки IP. Лично мне кажется, что идеально было бы чтобы PPTP писал в лог IP адреса с которыми соединение не установилось и по какой причине. 2-3 неудачи (по таким левым основаниям как "cntrl message too big") и добро пожаловать в черный список. Интересно это маскировка под торрент или реально таки кто-то устроил "эконом" DDOS через торрент? P.S. Может быть кто-то из пользователей торрента так неудачно для Вас (по закону подлости) ошибся. Попробуйте определить раздачу/трекер - спишитесь с админами пусть свяжутся с реальным раздающим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 19 октября, 2010 · Жалоба Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше. Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 19 октября, 2010 · Жалоба А у вас случайно нат на нем не делается? Пронатили в адрес на интерфейсе - любой торрентщик регает на трекере ваш ип. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 20 октября, 2010 · Жалоба Нат делается, но на другой адрес. На выходной адрес НАТа тоже была атака, но там сразу закрыли вообще все на вход. P.S.: Ну и тогда вопрос, как коллеги избегают ситуаций, когда происходит так как вы описали. И помоему торрент не прав, что использует не свои порты! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 20 октября, 2010 · Жалоба Для начала не давайте NAS-у внешней IP. Для маршрутизации он не нужен - можно между NAS-ом и бордером и по внутренним пакетики прогнать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 20 октября, 2010 · Жалоба ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 20 октября, 2010 · Жалоба ну это понятно, но у нас нету как такогого бордера. Каждый NAS подключен к различным провайдерам, присоединение без BGP. Вынести провайдеров на бордер, там NAT-ить и балансировать. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 3 февраля, 2013 · Жалоба Сеть распределенная! Да на самом деле тогда файрволом все порешалось... Правила, до сих пор живут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 3 февраля, 2013 · Жалоба А надо было всего-то зарезать коннекты из мира на 1723 порт... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 16 марта, 2013 (изменено) · Жалоба Так и лочим, всех кто не с PPTP протоколом на 1723 порт, в бан лист. Через 15 часов активность резко упала. Скорее всего эконом BotTorrent, файлы с описанием выше. Про пользователя - врятли - география очень разная! А с трекерами связываться очень долго и гиморно. Не, если бы реально у сервера ресурсы отъелись на это дело, то написали бы и аплинку и клиентов отыскали, а так это пока до лампочки, только логи засирает, ну и раздражает. Спасибо. таже самая ситуация и у меня, и не только у меня.... я бы закрыл 1723, то РРТР поднят только в целях внешнего подключения для мониторинга сети и т.д. и используется несколько раз в сутки по несколько минут и каждый раз заходить сначала по винбоксу, а потому уже открывать 1723 стало напрягать. Добавляю их айпишники в drop_list и дропаю на входе, но каждый день разные адреса и уже достало этим заниматься. подскажите как вы организовали занесение в бан лист всех, кто по 1723 не по рртр пытается попасть? Или может сделать одно правило дропания для всех кто из вне пытается зайти по 1723 не по рртр? Изменено 16 марта, 2013 пользователем chetkiyparen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bulbah Опубликовано 16 марта, 2013 · Жалоба Что скажите? А чуть раньше был даже умным. Отвечу твоим же ответом. после Введение: ТИ перестал читать. Я правильно угадал, что это: Что за некрофил откопал топик 2004 года!? рульный троллинг? Ужос. Наймите за пиво человека настроить сеть. Видимо за пиво и настроена. Адски плюсую! Та что мозги свои тормози, когда хочешь повыЁживаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 марта, 2013 · Жалоба Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 17 марта, 2013 · Жалоба Используйте другие протоколы для доступа извне, например SSTP. Windows 7 его поддерживает. А разница какая? их так же перебором ломают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 марта, 2013 · Жалоба Пусть себе ломают. Можно переехать на другой порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 17 марта, 2013 · Жалоба SSTP как я понял использует 443 порт, но вопрос не во взломе РРТР был, а в пакета , которые постоянно долбят по 1723... что мешает им долбиться также по 443? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 17 марта, 2013 · Жалоба Пусть себе ломают. Можно переехать на другой порт. Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 17 марта, 2013 · Жалоба включил SSTP, выбрал в ранее созданном тунеле в винде SSTP, вместо автоматически, но выдает ошибку 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат. что еще не хватает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 марта, 2013 · Жалоба Обновления прошивки мт или пинания авторов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4ecHok Опубликовано 20 марта, 2014 · Жалоба как сменитьпорт Ivan_83 (17 марта 2013 - 11:52) писал: Пусть себе ломают. Можно переехать на другой порт. Это самый удачный вариант, смена порта на 90% решает данную проблему. Пока порт не найдут :)) подскажите как сменить порт для PPTP сервера ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 20 марта, 2014 · Жалоба подскажите как сменить порт для PPTP сервера ? Если я не ошибаюсь, то никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...