Re: Abnormální zájem o stroj na i-netu z velmi seriózně vypadajících sítí

d.petr d.petr na post.cz
Úterý Červen 18 14:54:39 CEST 2019


Nemohlo by se jednat o součást DDOSu na webex.com, asi s podvrženými
zdrojovými IP-adresami? Jen takový první nápad.
PM


Pavel Troller wrote on 17.6.2019 20:55:
> Zdravím,
>   dnes jsem čirou náhodou řešil v interní síti problém, proč mi nechodí
> spojení mezi různými segmenty mé LAN a na jednom stroji jsem si zapnul
> tcpdump na ICMP pakety.
>   Byl jsem překvapen, jak velký provoz vidím, ten stroj byl systematicky
> pingán z celkem 5 strojů, každý měl interval zhruba 2 sekundy. Není to
> moc, ale běžně se to neděje.
>   Ačkoliv IP adresy byly rozdílné, udělal jsem si whois a byl jsem
> překvapen ještě více - všechny IP adresy mají společného jmenovatele,
> patří do domény webex.com, čili veliké a mocné Cisco.
>   Cisco-necisco, řekl jsem si, že toto tedy ne a že dotyčné sítě
> zaříznu, s touto doménou nemám nic společného, ten stroj s ní v žádném
> případě nepotřebuje komunikovat. Tak jsem provedl 3 zápisy do iptables a
> po chvíli se podíval, kolik paketů se nachytalo.
>   A byl jsem opět velmi překvapen, neboť jich bylo mnohem více, než bylo
> na tom pingu vidět. On ten ping totiž byl jen vrchol ledovce. Ukázalo
> se, že naprostá většina provozu útočí na porty DNS, a to UDP i TCP, a
> stále dokola se snaží o query domény ".".
>   Na tom stroji mi běží DNS, ale má samozřejmě zakázanou rekurzi, a
> slouží jen jako pomocný a navíc není pro žádnou doménu uveden jako
> autoritativní, neboli na něj nikde v DNS systému není odkaz - musel být
> nalezen nějakým nmapem či něčím podobným.
>   Já to vůbec nechápu. 
>   1) K čemu je takový útok dobrý ? Znám princip DNS spoofingu, ale
> jednak stejně museli vidět, že to DNS vrací REFUSED a druhak k čemu by
> to bylo, když není prakticky nikým použito ? To chtějí otrávit DNS pro
> moji rodinnou síť ? Proč by to sakra dělali ?
>   2) Jak je možné, že to nejde z nějakých poloanonymních sítí odněkud z
> Brazílie nebo Urugaye, ale z hlavní domény jednoho z největších IP hráčů
> světa ? To si nedokáže tu síť ohlídat ? Nebo to dělá vědomě ?
>   3) Co s tím ? Má smysl psát na nějaký abuse ?
>   4) Když už více než 12 hodin dostávají Reject, proč s tím stále
> pokračují ?
>   Aktuální vzorek z jedné z těch sítí:
> 21:44:25.157616 IP sin01-wxpd-lb01-vlan120-snip.webex.com.54118 > xxx.sinus.cz.domain:  18663+ A? . (17)
> 21:44:25.157639 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:27.890481 IP syd10-wxp00-ftd01a-outside.webex.com.60852 > xxx.sinus.cz.domain:  21394+ A? . (17)
> 21:44:27.890504 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:28.317920 IP nrt03-wxpd-lb01-adns.webex.com.40932 > xxx.sinus.cz.domain:  39878+ A? . (17)
> 21:44:28.317943 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:31.158664 IP sin01-wxpd-lb01-vlan120-snip.webex.com.53822 > xxx.sinus.cz.domain:  36899+ A? . (17)
> 21:44:31.158684 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:33.882403 IP syd10-wxp00-ftd01a-outside.webex.com.36763 > xxx.sinus.cz.domain:  8351+ A? . (17)
> 21:44:33.882424 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:34.315934 IP nrt03-wxpd-lb01-gslb-site.webex.com.42729 > xxx.sinus.cz.domain:  48495+ A? . (17)
> 21:44:34.315956 IP xxx.sinus.cz > nrt03-wxpd-lb01-gslb-site.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:37.132699 IP sin01-wxpd-lb01-vlan120-snip.webex.com.34011 > xxx.sinus.cz.domain:  33271+ A? . (17)
> 21:44:37.132720 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:39.904529 IP syd10-wxp00-ftd01a-outside.webex.com.64486 > xxx.sinus.cz.domain:  49000+ A? . (17)
> 21:44:39.904553 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:40.297601 IP nrt03-wxpd-lb01-vl121-snip.webex.com.23937 > xxx.sinus.cz.domain:  22659+ A? . (17)
> 21:44:40.297627 IP xxx.sinus.cz > nrt03-wxpd-lb01-vl121-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:43.153557 IP sin01-wxpd-lb01-vlan120-snip.webex.com.62824 > xxx.sinus.cz.domain:  55882+ A? . (17)
> 21:44:43.153582 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:45.910022 IP syd10-wxp00-ftd01a-outside.webex.com.26872 > xxx.sinus.cz.domain:  45345+ A? . (17)
> 21:44:45.910051 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 21:44:46.301446 IP nrt03-wxpd-lb01-adns.webex.com.9811 > xxx.sinus.cz.domain:  60547+ A? . (17)
> 21:44:46.301468 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> 
> Dosud nachytané počty paketů (ode dneška cca 9 hodin ráno):
> 
> 24942 1123K REJECT     all  --  *      *       114.29.192.0/19      0.0.0.0/0           reject-with icmp-port-unreachable
> 32361 1455K REJECT     all  --  *      *       64.68.96.0/19        0.0.0.0/0           reject-with icmp-port-unreachable
>  8790  398K REJECT     all  --  *      *       173.243.4.0/24       0.0.0.0/0           reject-with icmp-port-unreachable
> Všimněte si, že i ta malá 1C síť to tlačí jak divá...
> 
>   Pro zajímavost, zkusil jsem odfiltrovat všechny dotazy na "." a jediný,
> kdo se ptá, je ten webex, odnikud odjinud nikdo ani nepingá, ani nezkouší
> DNS.
>   Huh ? Co vy na to ?
> 
>   Krásný večer přeje Pavel
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
> 



Další informace o konferenci Hw-list