RE: Nedělní OT: síťové útoky a co s nimi ?

[Tomáš Koželuh]

Případně ještě obrovitější nástroj Snort, ale DenyHosts by to měl umět,
přímo nabízí parametr BLOCK_SERVICE, kde je jako výchozí nastavení pouze
sshd.
A taky je ještě jedna varianta, pokusit se hacknout útočníkův stroj a prostě
ho zrušit. Myslím, že vy na to ty znalosti máte...

> -----Original Message-----
> From: hw-list-bounces@list.hw.cz [mailto:hw-list-bounces@list.hw.cz] On
> Behalf Of Serych Jakub
> Sent: Sunday, June 07, 2009 8:54 AM
> 
> A nepomohlo by neco ve smyslu DenyHosts? To na SSH utoky pracuje zcela
> spolehlive, takze myslim, ze na SIP by neco takoveho mohlo take
> zabirat.
> Dokonce by mozna stalo za to poradne prozkoumat konfigurak DenyHosts,
> jestli
> by to nahodou neslo na SIP priohnout (nikdy jsem se jim ovsem nezabyval
> hloubeji nez potrebuji pro ochranu SSH, takze nevim jestli to jde nebo
> ne).
> 
> >
> >
> >    Zdravím při neděli,
> >    tak tu mám zase lahůdku pro počítačové, nyní spíše síťové
> > specialisty, adminy a další inteligenty :-).
> >    Včera odpoledne se jedna z mých SIP ústředen stala obětí
> > útoku. Tento je veden z IP adresy z amerického IP prostoru -
> > 216.245.200.107. Je zřejmě použito tohoto nástroje:
> > http://sipvicious.googlecode.com v režimu bruteforce hádání
> > hesla SIP účastníka.
> >    Brute force útoku je skutečně morbidní - cca 180 REGISTER
> > žádostí za sekundu, což ústřednu (Asterisk) prakticky
> > vyřadilo z provozu. Tím jsem také na útok přišel.
> > Bezprostřední řešení - zápis útočící IP adresy do iptables
> > samozřejmě systému ulevil, avšak cca 550 kbit/s útočícího
> > provozu mi dosud (cca 5:30 ráno) teče do sítě a to je
> > polovina toku, který mám k dispozici.
> >    Velmi zajímavé je, jak útok vznikl. Včera kolem 15:40 jsem
> > telefonoval z pobočky z určitým číslem přes tuto ústřednu. Za
> > cca 3 minuty započal z výše uvedené IP adresy útok na přesně
> > to číslo pobočky, z něhož jsem volal.
> > Volal jsem přes nezabezpečené WiFi operátora Ralsko.Net (z
> > chalupy, kde je toto připojení jednou z mála přijatelných
> > alternativ). Navíc byl provoz veden ipip tunelem
> > (nešifrovaným, pro šifrování nemají mé routery dostatek
> > výkonu, pokud je zapnu, telefonování stojí za prd).
> >    Útočník však neví, že to, co se snaží cracknout, vůbec
> > není účastník, ale trunk, čili k registraci nedochází a
> > vzájemná autorizace je pomocí pevných IP adres. Ten asterisk
> > tedy vůbec na ty REGISTER requesty neodpovídal, pouze 180x za
> > sekundu generoval chybový výpis do logu, což byla
> > bezprostřední příčina jeho zneschopnění (log za dobu útoku -
> > několik hodin, než jsem útočníka zablokoval, dosáhl cca 650
> > MB). Útok je tedy úplně zpackaný od samého začátku, nemohl
> > být nikdy úspěšný, ale přesto dosud trvá, již cca 15 hodin.
> > Zdá se, že útočník je naprostý idiot (script kiddie), který
> > skutečně umí jen pustit script a jít od toho a čekat na výsledek.
> >    Tak, a teď: Co s tím ? Samozřejmě jsem napsal na abuse
> > e-mail ISP, z něhož útok vychází (limestonenetworks.com), aby
> > útočníka dohledali a zablokovali.
> > Samozřejmě neodpověděli - jsem zvědav, zda odpoví alespoň v
> > pondělí, kdy už bude útok asi ukončen. Dále jsem zadal
> > útočící IP do google a vida, našel jsem cca 3 odkazy,
> > svědčící o tom, že nejsem jedinou obětí. Dotyčná IP byla již
> > použita ke crackování SIP ústředen, avšak v jiném režimu (šlo
> > o průběžný jednorázový scan rozsahu čísel, nikoli soustředěný
> > útok na jedno číslo). Tyto útoky byly registrovány v jiných
> > částech světa. Dále je zajímavé, že je útočeno z portu 5089.
> > Normální SIP má port 5060. Zdroják té utility jsem nečetl,
> > ale předpokládám, že při vytváření socketu, najde-li port
> > obsazený, zkouší další vyšší. To by vedlo k předpokladu, že
> > akutálně systém útočí na nějakých 29 cílů.
> >    Vzhledem ke globalitě útoků mi není úplně jasná vazba mezi
> > mým místním hovorem v ČR a útokem. Ten útočící stroj jsem
> > samozřejmě nmapoval, je to Linux (Debian) a běží na něm
> > apache2 (jen defaultní stránka, neznáte-li nějaké bližší
> > URL), ssh, smtp a mysql. Nenašel jsem stopy po vyhackování
> > (atypicky otevřené porty atd.), což ale nemusí nic znamenat.
> > Může jít o stroj vyloženě zřízený k těmto účelům. Pak je
> > zajímavé, kdo jej používá - zda jde o síť mezinárodních VoIP
> > crackerů, která má "prsty všude" (už jsem pomáhal objasnit
> > některé úspěšné útoky na VoIP v mém okolí, stává se to pomalu
> > častým jevem), nebo zda nějaký místní šťoural jen má do něj
> > přístup (ale pak by vlastně byl součástí té sítě, jde jen o
> > jiný pohled).
> >    Mám obavu, že obrátit se např. na policii ČR by mi asi moc
> > nepomohlo, pochybuji, že by něco řešili, když je to tak, jak
> > jsem popsal. Má někdo s řešením takového útoku ze zahraničí
> > zkušenosti ? Má to vůbec smysl to zkoušet, nebo je lepší
> > prostě zatnout zuby, provést maximální protiopatření,
> > obětovat půlku ingresu a doufat, že to brzy přejde ?