Abnormální zájem o stroj na i-netu z velmi seriózně vypadajících sítí

Pavel Troller patrol na sinus.cz
Úterý Červen 18 20:29:35 CEST 2019


Zdravím,
  ano, to mne taky napadlo, ale vzhledem k tomu, že nic z toho pořádně
"nezesilovalo", nepovažoval jsem to za pravděpodobné.
  Jisté je, že jsem právě z tohoto důvodu pak změnil pravidlo z -j
  REJECT na -j DROP, a už přišlo pak jen několik set paketů a vše naráz
zcela ztichlo. Takže asi ano, byl to nejspíše nějaký hodně slabý pokus o
DDoS na webex.com.
  Zdraví Pavel

> Nemohlo by se jednat o součást DDOSu na webex.com, asi s podvrženými
> zdrojovými IP-adresami? Jen takový první nápad.
> PM
> 
> 
> Pavel Troller wrote on 17.6.2019 20:55:
> > Zdravím,
> >   dnes jsem čirou náhodou řešil v interní síti problém, proč mi nechodí
> > spojení mezi různými segmenty mé LAN a na jednom stroji jsem si zapnul
> > tcpdump na ICMP pakety.
> >   Byl jsem překvapen, jak velký provoz vidím, ten stroj byl systematicky
> > pingán z celkem 5 strojů, každý měl interval zhruba 2 sekundy. Není to
> > moc, ale běžně se to neděje.
> >   Ačkoliv IP adresy byly rozdílné, udělal jsem si whois a byl jsem
> > překvapen ještě více - všechny IP adresy mají společného jmenovatele,
> > patří do domény webex.com, čili veliké a mocné Cisco.
> >   Cisco-necisco, řekl jsem si, že toto tedy ne a že dotyčné sítě
> > zaříznu, s touto doménou nemám nic společného, ten stroj s ní v žádném
> > případě nepotřebuje komunikovat. Tak jsem provedl 3 zápisy do iptables a
> > po chvíli se podíval, kolik paketů se nachytalo.
> >   A byl jsem opět velmi překvapen, neboť jich bylo mnohem více, než bylo
> > na tom pingu vidět. On ten ping totiž byl jen vrchol ledovce. Ukázalo
> > se, že naprostá většina provozu útočí na porty DNS, a to UDP i TCP, a
> > stále dokola se snaží o query domény ".".
> >   Na tom stroji mi běží DNS, ale má samozřejmě zakázanou rekurzi, a
> > slouží jen jako pomocný a navíc není pro žádnou doménu uveden jako
> > autoritativní, neboli na něj nikde v DNS systému není odkaz - musel být
> > nalezen nějakým nmapem či něčím podobným.
> >   Já to vůbec nechápu. 
> >   1) K čemu je takový útok dobrý ? Znám princip DNS spoofingu, ale
> > jednak stejně museli vidět, že to DNS vrací REFUSED a druhak k čemu by
> > to bylo, když není prakticky nikým použito ? To chtějí otrávit DNS pro
> > moji rodinnou síť ? Proč by to sakra dělali ?
> >   2) Jak je možné, že to nejde z nějakých poloanonymních sítí odněkud z
> > Brazílie nebo Urugaye, ale z hlavní domény jednoho z největších IP hráčů
> > světa ? To si nedokáže tu síť ohlídat ? Nebo to dělá vědomě ?
> >   3) Co s tím ? Má smysl psát na nějaký abuse ?
> >   4) Když už více než 12 hodin dostávají Reject, proč s tím stále
> > pokračují ?
> >   Aktuální vzorek z jedné z těch sítí:
> > 21:44:25.157616 IP sin01-wxpd-lb01-vlan120-snip.webex.com.54118 > xxx.sinus.cz.domain:  18663+ A? . (17)
> > 21:44:25.157639 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:27.890481 IP syd10-wxp00-ftd01a-outside.webex.com.60852 > xxx.sinus.cz.domain:  21394+ A? . (17)
> > 21:44:27.890504 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:28.317920 IP nrt03-wxpd-lb01-adns.webex.com.40932 > xxx.sinus.cz.domain:  39878+ A? . (17)
> > 21:44:28.317943 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:31.158664 IP sin01-wxpd-lb01-vlan120-snip.webex.com.53822 > xxx.sinus.cz.domain:  36899+ A? . (17)
> > 21:44:31.158684 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:33.882403 IP syd10-wxp00-ftd01a-outside.webex.com.36763 > xxx.sinus.cz.domain:  8351+ A? . (17)
> > 21:44:33.882424 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:34.315934 IP nrt03-wxpd-lb01-gslb-site.webex.com.42729 > xxx.sinus.cz.domain:  48495+ A? . (17)
> > 21:44:34.315956 IP xxx.sinus.cz > nrt03-wxpd-lb01-gslb-site.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:37.132699 IP sin01-wxpd-lb01-vlan120-snip.webex.com.34011 > xxx.sinus.cz.domain:  33271+ A? . (17)
> > 21:44:37.132720 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:39.904529 IP syd10-wxp00-ftd01a-outside.webex.com.64486 > xxx.sinus.cz.domain:  49000+ A? . (17)
> > 21:44:39.904553 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:40.297601 IP nrt03-wxpd-lb01-vl121-snip.webex.com.23937 > xxx.sinus.cz.domain:  22659+ A? . (17)
> > 21:44:40.297627 IP xxx.sinus.cz > nrt03-wxpd-lb01-vl121-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:43.153557 IP sin01-wxpd-lb01-vlan120-snip.webex.com.62824 > xxx.sinus.cz.domain:  55882+ A? . (17)
> > 21:44:43.153582 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:45.910022 IP syd10-wxp00-ftd01a-outside.webex.com.26872 > xxx.sinus.cz.domain:  45345+ A? . (17)
> > 21:44:45.910051 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:46.301446 IP nrt03-wxpd-lb01-adns.webex.com.9811 > xxx.sinus.cz.domain:  60547+ A? . (17)
> > 21:44:46.301468 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 
> > Dosud nachytané počty paketů (ode dneška cca 9 hodin ráno):
> > 
> > 24942 1123K REJECT     all  --  *      *       114.29.192.0/19      0.0.0.0/0           reject-with icmp-port-unreachable
> > 32361 1455K REJECT     all  --  *      *       64.68.96.0/19        0.0.0.0/0           reject-with icmp-port-unreachable
> >  8790  398K REJECT     all  --  *      *       173.243.4.0/24       0.0.0.0/0           reject-with icmp-port-unreachable
> > Všimněte si, že i ta malá 1C síť to tlačí jak divá...
> > 
> >   Pro zajímavost, zkusil jsem odfiltrovat všechny dotazy na "." a jediný,
> > kdo se ptá, je ten webex, odnikud odjinud nikdo ani nepingá, ani nezkouší
> > DNS.
> >   Huh ? Co vy na to ?
> > 
> >   Krásný večer přeje Pavel
> > _______________________________________________
> > HW-list mailing list  -  sponsored by www.HW.cz
> > Hw-list na list.hw.cz
> > http://list.hw.cz/mailman/listinfo/hw-list
> > 
> 
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


Další informace o konferenci Hw-list