Abnormální zájem o stroj na i-netu z velmi seriózně vypadajících sítí

Pavel Troller patrol na sinus.cz
Pondělí Červen 17 21:55:01 CEST 2019 

Zdravím,
  dnes jsem čirou náhodou řešil v interní síti problém, proč mi nechodí
spojení mezi různými segmenty mé LAN a na jednom stroji jsem si zapnul
tcpdump na ICMP pakety.
  Byl jsem překvapen, jak velký provoz vidím, ten stroj byl systematicky
pingán z celkem 5 strojů, každý měl interval zhruba 2 sekundy. Není to
moc, ale běžně se to neděje.
  Ačkoliv IP adresy byly rozdílné, udělal jsem si whois a byl jsem
překvapen ještě více - všechny IP adresy mají společného jmenovatele,
patří do domény webex.com, čili veliké a mocné Cisco.
  Cisco-necisco, řekl jsem si, že toto tedy ne a že dotyčné sítě
zaříznu, s touto doménou nemám nic společného, ten stroj s ní v žádném
případě nepotřebuje komunikovat. Tak jsem provedl 3 zápisy do iptables a
po chvíli se podíval, kolik paketů se nachytalo.
  A byl jsem opět velmi překvapen, neboť jich bylo mnohem více, než bylo
na tom pingu vidět. On ten ping totiž byl jen vrchol ledovce. Ukázalo
se, že naprostá většina provozu útočí na porty DNS, a to UDP i TCP, a
stále dokola se snaží o query domény ".".
  Na tom stroji mi běží DNS, ale má samozřejmě zakázanou rekurzi, a
slouží jen jako pomocný a navíc není pro žádnou doménu uveden jako
autoritativní, neboli na něj nikde v DNS systému není odkaz - musel být
nalezen nějakým nmapem či něčím podobným.
  Já to vůbec nechápu. 
  1) K čemu je takový útok dobrý ? Znám princip DNS spoofingu, ale
jednak stejně museli vidět, že to DNS vrací REFUSED a druhak k čemu by
to bylo, když není prakticky nikým použito ? To chtějí otrávit DNS pro
moji rodinnou síť ? Proč by to sakra dělali ?
  2) Jak je možné, že to nejde z nějakých poloanonymních sítí odněkud z
Brazílie nebo Urugaye, ale z hlavní domény jednoho z největších IP hráčů
světa ? To si nedokáže tu síť ohlídat ? Nebo to dělá vědomě ?
  3) Co s tím ? Má smysl psát na nějaký abuse ?
  4) Když už více než 12 hodin dostávají Reject, proč s tím stále
pokračují ?
  Aktuální vzorek z jedné z těch sítí:
21:44:25.157616 IP sin01-wxpd-lb01-vlan120-snip.webex.com.54118 > xxx.sinus.cz.domain:  18663+ A? . (17)
21:44:25.157639 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:27.890481 IP syd10-wxp00-ftd01a-outside.webex.com.60852 > xxx.sinus.cz.domain:  21394+ A? . (17)
21:44:27.890504 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:28.317920 IP nrt03-wxpd-lb01-adns.webex.com.40932 > xxx.sinus.cz.domain:  39878+ A? . (17)
21:44:28.317943 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:31.158664 IP sin01-wxpd-lb01-vlan120-snip.webex.com.53822 > xxx.sinus.cz.domain:  36899+ A? . (17)
21:44:31.158684 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:33.882403 IP syd10-wxp00-ftd01a-outside.webex.com.36763 > xxx.sinus.cz.domain:  8351+ A? . (17)
21:44:33.882424 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:34.315934 IP nrt03-wxpd-lb01-gslb-site.webex.com.42729 > xxx.sinus.cz.domain:  48495+ A? . (17)
21:44:34.315956 IP xxx.sinus.cz > nrt03-wxpd-lb01-gslb-site.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:37.132699 IP sin01-wxpd-lb01-vlan120-snip.webex.com.34011 > xxx.sinus.cz.domain:  33271+ A? . (17)
21:44:37.132720 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:39.904529 IP syd10-wxp00-ftd01a-outside.webex.com.64486 > xxx.sinus.cz.domain:  49000+ A? . (17)
21:44:39.904553 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:40.297601 IP nrt03-wxpd-lb01-vl121-snip.webex.com.23937 > xxx.sinus.cz.domain:  22659+ A? . (17)
21:44:40.297627 IP xxx.sinus.cz > nrt03-wxpd-lb01-vl121-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:43.153557 IP sin01-wxpd-lb01-vlan120-snip.webex.com.62824 > xxx.sinus.cz.domain:  55882+ A? . (17)
21:44:43.153582 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:45.910022 IP syd10-wxp00-ftd01a-outside.webex.com.26872 > xxx.sinus.cz.domain:  45345+ A? . (17)
21:44:45.910051 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
21:44:46.301446 IP nrt03-wxpd-lb01-adns.webex.com.9811 > xxx.sinus.cz.domain:  60547+ A? . (17)
21:44:46.301468 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53

Dosud nachytané počty paketů (ode dneška cca 9 hodin ráno):

24942 1123K REJECT     all  --  *      *       114.29.192.0/19      0.0.0.0/0           reject-with icmp-port-unreachable
32361 1455K REJECT     all  --  *      *       64.68.96.0/19        0.0.0.0/0           reject-with icmp-port-unreachable
 8790  398K REJECT     all  --  *      *       173.243.4.0/24       0.0.0.0/0           reject-with icmp-port-unreachable
Všimněte si, že i ta malá 1C síť to tlačí jak divá...

  Pro zajímavost, zkusil jsem odfiltrovat všechny dotazy na "." a jediný,
kdo se ptá, je ten webex, odnikud odjinud nikdo ani nepingá, ani nezkouší
DNS.
  Huh ? Co vy na to ?

  Krásný večer přeje Pavel

Další informace o konferenci Hw-list