Abnormální zájem o stroj na i-netu z velmi seriózně vypadajících sítí
Pavel Troller
patrol na sinus.cz
Úterý Červen 18 20:29:35 CEST 2019
Zdravím,
ano, to mne taky napadlo, ale vzhledem k tomu, že nic z toho pořádně
"nezesilovalo", nepovažoval jsem to za pravděpodobné.
Jisté je, že jsem právě z tohoto důvodu pak změnil pravidlo z -j
REJECT na -j DROP, a už přišlo pak jen několik set paketů a vše naráz
zcela ztichlo. Takže asi ano, byl to nejspíše nějaký hodně slabý pokus o
DDoS na webex.com.
Zdraví Pavel
> Nemohlo by se jednat o součást DDOSu na webex.com, asi s podvrženými
> zdrojovými IP-adresami? Jen takový první nápad.
> PM
>
>
> Pavel Troller wrote on 17.6.2019 20:55:
> > Zdravím,
> > dnes jsem čirou náhodou řešil v interní síti problém, proč mi nechodí
> > spojení mezi různými segmenty mé LAN a na jednom stroji jsem si zapnul
> > tcpdump na ICMP pakety.
> > Byl jsem překvapen, jak velký provoz vidím, ten stroj byl systematicky
> > pingán z celkem 5 strojů, každý měl interval zhruba 2 sekundy. Není to
> > moc, ale běžně se to neděje.
> > Ačkoliv IP adresy byly rozdílné, udělal jsem si whois a byl jsem
> > překvapen ještě více - všechny IP adresy mají společného jmenovatele,
> > patří do domény webex.com, čili veliké a mocné Cisco.
> > Cisco-necisco, řekl jsem si, že toto tedy ne a že dotyčné sítě
> > zaříznu, s touto doménou nemám nic společného, ten stroj s ní v žádném
> > případě nepotřebuje komunikovat. Tak jsem provedl 3 zápisy do iptables a
> > po chvíli se podíval, kolik paketů se nachytalo.
> > A byl jsem opět velmi překvapen, neboť jich bylo mnohem více, než bylo
> > na tom pingu vidět. On ten ping totiž byl jen vrchol ledovce. Ukázalo
> > se, že naprostá většina provozu útočí na porty DNS, a to UDP i TCP, a
> > stále dokola se snaží o query domény ".".
> > Na tom stroji mi běží DNS, ale má samozřejmě zakázanou rekurzi, a
> > slouží jen jako pomocný a navíc není pro žádnou doménu uveden jako
> > autoritativní, neboli na něj nikde v DNS systému není odkaz - musel být
> > nalezen nějakým nmapem či něčím podobným.
> > Já to vůbec nechápu.
> > 1) K čemu je takový útok dobrý ? Znám princip DNS spoofingu, ale
> > jednak stejně museli vidět, že to DNS vrací REFUSED a druhak k čemu by
> > to bylo, když není prakticky nikým použito ? To chtějí otrávit DNS pro
> > moji rodinnou síť ? Proč by to sakra dělali ?
> > 2) Jak je možné, že to nejde z nějakých poloanonymních sítí odněkud z
> > Brazílie nebo Urugaye, ale z hlavní domény jednoho z největších IP hráčů
> > světa ? To si nedokáže tu síť ohlídat ? Nebo to dělá vědomě ?
> > 3) Co s tím ? Má smysl psát na nějaký abuse ?
> > 4) Když už více než 12 hodin dostávají Reject, proč s tím stále
> > pokračují ?
> > Aktuální vzorek z jedné z těch sítí:
> > 21:44:25.157616 IP sin01-wxpd-lb01-vlan120-snip.webex.com.54118 > xxx.sinus.cz.domain: 18663+ A? . (17)
> > 21:44:25.157639 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:27.890481 IP syd10-wxp00-ftd01a-outside.webex.com.60852 > xxx.sinus.cz.domain: 21394+ A? . (17)
> > 21:44:27.890504 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:28.317920 IP nrt03-wxpd-lb01-adns.webex.com.40932 > xxx.sinus.cz.domain: 39878+ A? . (17)
> > 21:44:28.317943 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:31.158664 IP sin01-wxpd-lb01-vlan120-snip.webex.com.53822 > xxx.sinus.cz.domain: 36899+ A? . (17)
> > 21:44:31.158684 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:33.882403 IP syd10-wxp00-ftd01a-outside.webex.com.36763 > xxx.sinus.cz.domain: 8351+ A? . (17)
> > 21:44:33.882424 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:34.315934 IP nrt03-wxpd-lb01-gslb-site.webex.com.42729 > xxx.sinus.cz.domain: 48495+ A? . (17)
> > 21:44:34.315956 IP xxx.sinus.cz > nrt03-wxpd-lb01-gslb-site.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:37.132699 IP sin01-wxpd-lb01-vlan120-snip.webex.com.34011 > xxx.sinus.cz.domain: 33271+ A? . (17)
> > 21:44:37.132720 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:39.904529 IP syd10-wxp00-ftd01a-outside.webex.com.64486 > xxx.sinus.cz.domain: 49000+ A? . (17)
> > 21:44:39.904553 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:40.297601 IP nrt03-wxpd-lb01-vl121-snip.webex.com.23937 > xxx.sinus.cz.domain: 22659+ A? . (17)
> > 21:44:40.297627 IP xxx.sinus.cz > nrt03-wxpd-lb01-vl121-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:43.153557 IP sin01-wxpd-lb01-vlan120-snip.webex.com.62824 > xxx.sinus.cz.domain: 55882+ A? . (17)
> > 21:44:43.153582 IP xxx.sinus.cz > sin01-wxpd-lb01-vlan120-snip.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:45.910022 IP syd10-wxp00-ftd01a-outside.webex.com.26872 > xxx.sinus.cz.domain: 45345+ A? . (17)
> > 21:44:45.910051 IP xxx.sinus.cz > syd10-wxp00-ftd01a-outside.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> > 21:44:46.301446 IP nrt03-wxpd-lb01-adns.webex.com.9811 > xxx.sinus.cz.domain: 60547+ A? . (17)
> > 21:44:46.301468 IP xxx.sinus.cz > nrt03-wxpd-lb01-adns.webex.com: ICMP xxx.sinus.cz udp port domain unreachable, length 53
> >
> > Dosud nachytané počty paketů (ode dneška cca 9 hodin ráno):
> >
> > 24942 1123K REJECT all -- * * 114.29.192.0/19 0.0.0.0/0 reject-with icmp-port-unreachable
> > 32361 1455K REJECT all -- * * 64.68.96.0/19 0.0.0.0/0 reject-with icmp-port-unreachable
> > 8790 398K REJECT all -- * * 173.243.4.0/24 0.0.0.0/0 reject-with icmp-port-unreachable
> > Všimněte si, že i ta malá 1C síť to tlačí jak divá...
> >
> > Pro zajímavost, zkusil jsem odfiltrovat všechny dotazy na "." a jediný,
> > kdo se ptá, je ten webex, odnikud odjinud nikdo ani nepingá, ani nezkouší
> > DNS.
> > Huh ? Co vy na to ?
> >
> > Krásný večer přeje Pavel
> > _______________________________________________
> > HW-list mailing list - sponsored by www.HW.cz
> > Hw-list na list.hw.cz
> > http://list.hw.cz/mailman/listinfo/hw-list
> >
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list