Вопрос: DDOS-атака в моей сети?


За последние 4 недели я заметил, что мой маршрутизатор и модем постоянно мигают:

Router and modem lights blink continuously

Маршрутизатор - это Linksys WRT160NL Бег DD-WRT v24-sp2 (07/20/12) std и модем является Cisco DPC3825, Модем также способен маршрутизировать, но я отключил его, поэтому он находится в режиме моста.

У меня также есть два Linux-сервера в моей сети. Один из них запускает Asterisk, а другой - веб-сервер.

Первоначально сервер asterisk находился в DMZ, но я взял его из-за подозрительного трафика. Вместо этого я отправил кучу портов на сервер Asterisk и порт 80 на веб-сервер. После этого я начал замечать кучу ошибок в журналах веб-сервера:

192.168.1.1 - - [05/Mar/2013:12:49:10 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:12 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:23 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:33 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:38 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:40 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:42 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:44 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"

Заметка: 192.168.1.1 это IP-адрес моего маршрутизатора в этом случае (а не реальный, но вы получаете идею).

Чтобы проверить мое подозрение, я отключил переадресацию порта на веб-сервер (порт 80), и журналы ошибок остановились. Итак, я пришел к выводу, что трафик поступает из моей сети.

РЕДАКТИРОВАТЬ: Я отключил ВСЕ, кроме модема и маршрутизатора, и все же индикаторы все еще мигают. Они останавливаются, если я отсоединяю кабель от маршрутизатора до модема.

Любые идеи, как я могу определить источник трафика и, надеюсь, остановить его?

EDIT2: Мне удалось включить журналы брандмауэра и получить тысячи упавших пакетов из одного и того же IP-адреса:

2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180

2
2018-03-05 18:44


Источник


Вы должны быть в состоянии посмотреть журналы маршрутизатора и посмотреть, что входит в систему и попасть в поле. Если это один IP-адрес, вы можете сделать его черным в своем маршрутизаторе. - rfelsburg
К сожалению, все записи журнала имеют IP-адрес моего маршрутизатора. Возможно, некоторая некорректная настройка DDWRT? - Alfero Chingono
Я только что протестировал свой мобильный телефон (через 3G), и в журнале появился внешний IP-адрес. хммм. - Alfero Chingono
Проверьте внешний маршрутизатор. Если да, то хм, я не уверен. - rfelsburg
подождите ... wpad.dat должен из-за прокси-сервера autoconfig ... есть ли какие-либо устройства, которые могут быть непреднамеренно настроены для восстановления и восстановления этого файла? - tombull89


Ответы:


Такие попытки вполне нормальные, к сожалению, это всего лишь фоновый шум сети, и нет реального способа остановить его в общем виде. Вам просто нужно убедиться, что вещи, которые вы делаете снаружи, защищены. Такие инструменты, как fail2ban, могут помочь предотвратить многочисленные попытки атаковать множество разных URL-адресов (или попыток подключения SSH и т. Д.).


4
2018-03-05 18:51



Запрос на /wpad.dat определенно не ваш обычный фоновый шум, - Michael Hampton


Как отмечали другие, самый внешний маршрутизатор может рассказать вам, кто его пересекает, чтобы попасть на ваш веб-сервер (я не уверен, как работает это конкретное устройство Linksys, но он не должен сбрасывать исходный адрес запросов. не выполняя «стандартный» NAT - в любом случае ему пришлось бы поддерживать таблицу сопоставления, особенно если она играет прокси).

Поскольку проблема исчезает, когда вы выключаете переадресацию портов, я могу представить две возможности:

  1. Кто-то из вашей кабельной сети слепо нащупывает wpad.dat,
    Это может быть вредоносным, или они могут просто иметь поврежденное мозгом устройство в своей среде. Ваш маршрутизатор просто передает запрос (хотя я не понимаю, почему он изменит исходный IP-адрес).

  2. Ваш маршрутизатор пытается захватить wpad.dat с вашего веб-сервера.
    Я не могу понять причину этого - я бы подумал, что серьезная неисправность в прошивке Linksys. Чтобы быть в безопасности, проверьте настройки прокси-сервера в своем маршрутизаторе и убедитесь, что они отключены / отключены.


Не ожидайте, что это вылечит непрерывное мигание ваших модемных ламп, хотя --- что ЯВЛЯЕТСЯ нормальный фоновый шум в Интернете (всегда будет происходить скачок трафика на вашем модемом, особенно если у вас работает веб-сервер, и люди трясут его).
Пока вы разрешаете тайну, с которой вы в настоящее время сталкиваетесь (и ничего больше необычного в журналах), фоновый шум обычно можно игнорировать.


2
2018-03-05 19:27



Спасибо ... в маршрутизаторе работает прошивка DDWRT, а не прошивка Linksys. - Alfero Chingono
@adaptive Возможно, кто-то с большим опытом DDWRT может прокомментировать, делает ли он что-то особенное в отношении WPAD. (Или, альтернативно, расскажите, где искать журналы в своем трафике NAT / Proxy) - voretaq7


С помощью Эта статья  а также Эта статья, Мне удалось включить журналы брандмауэра и получить тысячи отброшенных пакетов с одного и того же IP-адреса:

2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180

РЕДАКТИРОВАТЬ При дальнейшем расследовании представляется wpad сообщения журнала не были связаны с мигающими огнями. Я включил перенаправление портов на веб-сервер и сообщения никогда не появлялись.

Затем я просмотрел IP-адрес который дал мне название хостинговой компании как Fusepoint Managed Services, Затем я позвонил в компанию и сообщил об этом. Представитель службы был очень полезен и проверял, что IP действительно был в их сети. Она обещала перезвонить мне, когда проблема будет решена.

Надеюсь, что это поможет кому-то другому.

Спасибо @ voretaq7


0
2018-03-05 21:31