Nedělní OT: síťové útoky a co s nimi ?

Sudovec sudovec@seznam.cz
Neděle Červen 7 20:06:33 CEST 2009 

Zkuste se domluvit s vaším ISP aby provoz z dané adresy zahazoval už 
někde u sebe a nepouštěl ho na vaši linku - to je jedna z metod omezení 
dopadů DOS útoků.

     S.

Pavel Troller napsal(a):
> 
>    Zdravím při neděli,
>    tak tu mám zase lahůdku pro počítačové, nyní spíše síťové specialisty,
> adminy a další inteligenty :-).
>    Včera odpoledne se jedna z mých SIP ústředen stala obětí útoku. Tento je
> veden z IP adresy z amerického IP prostoru - 216.245.200.107. Je zřejmě
> použito tohoto nástroje: http://sipvicious.googlecode.com v režimu bruteforce
> hádání hesla SIP účastníka.
>    Brute force útoku je skutečně morbidní - cca 180 REGISTER žádostí za
> sekundu, což ústřednu (Asterisk) prakticky vyřadilo z provozu. Tím jsem také
> na útok přišel. Bezprostřední řešení - zápis útočící IP adresy do iptables
> samozřejmě systému ulevil, avšak cca 550 kbit/s útočícího provozu mi dosud
> (cca 5:30 ráno) teče do sítě a to je polovina toku, který mám k dispozici.
>    Velmi zajímavé je, jak útok vznikl. Včera kolem 15:40 jsem telefonoval
> z pobočky z určitým číslem přes tuto ústřednu. Za cca 3 minuty započal z výše
> uvedené IP adresy útok na přesně to číslo pobočky, z něhož jsem volal. 
> Volal jsem přes nezabezpečené WiFi operátora Ralsko.Net (z chalupy, kde je
> toto připojení jednou z mála přijatelných alternativ). Navíc byl provoz veden
> ipip tunelem (nešifrovaným, pro šifrování nemají mé routery dostatek výkonu,
> pokud je zapnu, telefonování stojí za prd).
>    Útočník však neví, že to, co se snaží cracknout, vůbec není účastník, ale
> trunk, čili k registraci nedochází a vzájemná autorizace je pomocí pevných
> IP adres. Ten asterisk tedy vůbec na ty REGISTER requesty neodpovídal, pouze
> 180x za sekundu generoval chybový výpis do logu, což byla bezprostřední
> příčina jeho zneschopnění (log za dobu útoku - několik hodin, než jsem 
> útočníka zablokoval, dosáhl cca 650 MB). Útok je tedy úplně zpackaný od 
> samého začátku, nemohl být nikdy úspěšný, ale přesto dosud trvá, již cca 15
> hodin. Zdá se, že útočník je naprostý idiot (script kiddie), který skutečně
> umí jen pustit script a jít od toho a čekat na výsledek.
>    Tak, a teď: Co s tím ? Samozřejmě jsem napsal na abuse e-mail ISP, z něhož
> útok vychází (limestonenetworks.com), aby útočníka dohledali a zablokovali.
> Samozřejmě neodpověděli - jsem zvědav, zda odpoví alespoň v pondělí, kdy už
> bude útok asi ukončen. Dále jsem zadal útočící IP do google a vida, našel jsem
> cca 3 odkazy, svědčící o tom, že nejsem jedinou obětí. Dotyčná IP byla již
> použita ke crackování SIP ústředen, avšak v jiném režimu (šlo o průběžný
> jednorázový scan rozsahu čísel, nikoli soustředěný útok na jedno číslo). Tyto
> útoky byly registrovány v jiných částech světa. Dále je zajímavé, že je útočeno
> z portu 5089. Normální SIP má port 5060. Zdroják té utility jsem nečetl, ale
> předpokládám, že při vytváření socketu, najde-li port obsazený, zkouší další
> vyšší. To by vedlo k předpokladu, že akutálně systém útočí na nějakých 29 cílů.
>    Vzhledem ke globalitě útoků mi není úplně jasná vazba mezi mým místním
> hovorem v ČR a útokem. Ten útočící stroj jsem samozřejmě nmapoval, je to
> Linux (Debian) a běží na něm apache2 (jen defaultní stránka, neznáte-li nějaké
> bližší URL), ssh, smtp a mysql. Nenašel jsem stopy po vyhackování (atypicky
> otevřené porty atd.), což ale nemusí nic znamenat. Může jít o stroj vyloženě
> zřízený k těmto účelům. Pak je zajímavé, kdo jej používá - zda jde o síť
> mezinárodních VoIP crackerů, která má "prsty všude" (už jsem pomáhal objasnit
> některé úspěšné útoky na VoIP v mém okolí, stává se to pomalu častým jevem),
> nebo zda nějaký místní šťoural jen má do něj přístup (ale pak by vlastně byl
> součástí té sítě, jde jen o jiný pohled).
>    Mám obavu, že obrátit se např. na policii ČR by mi asi moc nepomohlo, 
> pochybuji, že by něco řešili, když je to tak, jak jsem popsal. Má někdo s
> řešením takového útoku ze zahraničí zkušenosti ? Má to vůbec smysl to zkoušet,
> nebo je lepší prostě zatnout zuby, provést maximální protiopatření, obětovat
> půlku ingresu a doufat, že to brzy přejde ?
> 
>    Zdraví Pavel Troller
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list@list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>

Další informace o konferenci Hw-list