Problematická komunikace klienta co zahltí síť

krakonos

Prosím zkušenější o radu.

Klientovi začal asi 3 měsíce zpátky celkem vysoký download traffic na jeho router, to jsem moc neregistroval, dokud nezačal hlásit, že jim jde pomalu internet a reálně z jejich sítě nic nestahují.

Já: Vidím, že k Vám teď teče 40Mbps přes IPsec-esp, něco asi stahujete
On: Nic tady není, vše jsem odpojil a je pouze zapnutý router
Já: Ok, tak máte hacknutý router
On: Nechal jsem to prověřit a router je v pořádku na WAN tu komunikaci nevidíme.

Komunikace se spouští náhodně, 1 den běží naplno, potom 3 dny nic a tak různě.
Hlavní věc, proč to docela řeším, že tato komunikace na obrázcích mi složí hlavní GW s Intel X520-DA2 síťovou kartu, která v tu chvilku chybuje. Když komunikace skončí nebo ji bloknu, tak zase vše jede. Přes kartu tečou 3 Gbit, samotná komunikace od klienta má 50 Mbit.

iTomB

krakonos Jeste to klidne muze byt problem s poctem novych spojeni /s.

Kolobok

krakonos Bohužel se s tím taky setkávám. V jednom případě jsme to lokalizovali jako prapodivnou vlastnost L2 prvků, kterou jsme vyřešili snížením rychlosti klientovi. L2 prvek je na 10GBit infrastruktuře, metalický ethernet, konkrétně UBNT Edgeswitch, z něho se to koncentruje až do hlavního routeru přes 5 aktivních prvků, přes optiku.
Klient je na metalice, bohužel kabel k němu je někde asi poškozený, tak to jde jenom v 100Mbit, ačkoliv má tarif tuším 200Mb . V momentě, kdy saturuje linku, všechny prvky na daném switchi začnou zahazovat pakety a mají neskutečný jitter a proměnlivou latenci. Jakmile port zavřu, je všechno OK.. Jedna z anomálií je, že ačkoli je aktivní FC, do portu v klidu teče i 110Mbit a pod.. Takže je něco kompletně špatně, protože do 100Mbit portu se prostě víc jak 95Mbit dostat nedá. Nakonec jsme mu v Shaperu nastavili pravidlo na 95Mbit a od té doby je klid.. Občas se dějou divný věci 🙂

kozlicek

reset do deafultu a nastavit znova.

krakonos

kozlicek Takže jste taky pro hacknutý router? Jenom mi furt vrtá hlavou, proč tak malá komunikace zahlatí tu moji GW.

pgb

krakonos koukej i na PPS a na počet spojení v conntracku a uvidíš. Nejlépe pokud si to grafuješ. Mbps jsou jen malá část.

krakonos

iTomB To jsem si myslel, ale nedokážu to kloudně sledovat nebo blokovat. Těch spojení jsou tam podle mě tisíce, ale v conntracku je toto tolik, že to ani nezobrazím.

pgb

Ty jednotlivé nepotřebuješ nutně zobrazit... Stačí se dívat na celkový počet spojení v čase. Pokud máš graf tak tam uvidíš nejspíš výrazný skok. Mě se běžně stává že z běžného stavu 200tis se náhle objeví nárůst klidně na 1mil, což může být problém při horní hranici. Stejně tak to uvidíš v NetFlow. Na grafu PPS to taky najdeš jako výraznou špici a většinou doprovázenou poklesem Mbps.

PS: nedávno jsem měl kulomet 400Mbps v 60b packetech a to se umělo postarat o zábavu 🙂

krakonos

pgb Je řešení udělat na firewallu nějaký limit pro nové spojení ke klientovi? Co jsem zkoušel, tak to chytá i skutečnou komunikaci.

ludvik

Na tohle je bohužel jen jedna jediná rada - omezit to přímo u klienta. Případně i na bodě jemu nejbližším. Jak se to rozjede, může se to dostat do situace, kdy se není ani jak dostat na ty routery ...

pgb

ludvik jak říkáš, ale PPS omezit nejdou, tak leda u toho problémového klienta omezit počet nových spojení na nejbližším L3 prvků, pokud by měl ale pppoe až u sebe, tak je to zase problém.

OT: Jinak když se mi v labu omylem podaří pustit nějaký šílený PPS proti dslamu, tak mě na několik minut okamžitě vykopne. Testoval jsem to omylem víckrát i s různými modemy (a ty neumřou, vypadne jen pppoe)

pgb

krakonos ano, ale co nejblíže klientovi. Pokud je cpe v režimu L3 a dostatečně výkonné, na veškerou komunikaci toho zákazníka. Nasazovat to na centrální GW už jak psal @ludvik je topologicky pozdě.

ludvik

krakonos Pokud uděláš omezení na konexe a klient to používá také, tak je to pro něj samozřejmě problém. Odlišit dobrý a špatný provoz z principu vlastně nelze. Ale alespoň ti nelehne síť. Možná.

Na GW lze použít limit pro příchozí spojení. Samozřejmě to nějaký strojový čas stojí ... Ale pokud díky tomu nebude klient odpovídat, může to pomoci.
Musíš také zapojit RAW tabulku netfilteru, aby ti to nevyžralo conntrack. Tedy na forwardu, nebo inputu je vlastně pozdě (ale jen tam to zvládneš "počítat"). Proti DoS to jde, ale DDoS ti to zabije tak jako tak ...

Asi to nepoužíváš, tedy pro inspiraci:

/ip firewall filter
add action=jump chain=forward comment=konexe connection-state=new \
    in-interface-list=connlimit jump-target=KONEXE_IN
add action=jump chain=forward connection-state=new jump-target=KONEXE_OUT \
    out-interface-list=connlimit

add action=reject chain=KONEXE_IN connection-limit=450,32 protocol=tcp \
    reject-with=tcp-reset
add action=reject chain=KONEXE_IN connection-limit=150,32 dst-port=!443 \
    protocol=udp reject-with=icmp-admin-prohibited
add action=reject chain=KONEXE_IN connection-limit=120,32 dst-port=443 \
    protocol=udp reject-with=icmp-admin-prohibited
add action=reject chain=KONEXE_OUT connection-limit=100,32 connection-state=\
    "" protocol=tcp reject-with=tcp-reset
add action=reject chain=KONEXE_OUT connection-limit=50,32 protocol=udp \
    reject-with=icmp-admin-prohibited

Je to takový základ proti tomu, aby stanice za klientským routerem neměla možnost se zbláznit. LAN interface musí být zapsán v interface-list connlimit.

Využít lze i počítání přístupů na služby routeru jako takového. Je to trochu něco jiného, používám to (po pravdě, je to obšlehnuté odněkud z tohoto fóra):

/ip firewall filter
add action=drop chain=sshchain comment="SSH prevent brute force" \
    src-address-list=sys_ssh_blacklist
add action=accept chain=sshchain comment="whitelist khnet_management" \
    src-address-list=khnet_management
add action=add-src-to-address-list address-list=sys_ssh_blacklist \
    address-list-timeout=3d chain=sshchain connection-state=new \
    src-address-list=sys_ssh_stage3
add action=add-src-to-address-list address-list=sys_ssh_stage3 \
    address-list-timeout=1m chain=sshchain connection-state=new \
    src-address-list=sys_ssh_stage2
add action=add-src-to-address-list address-list=sys_ssh_stage2 \
    address-list-timeout=1m chain=sshchain connection-state=new \
    src-address-list=sys_ssh_stage1
add action=add-src-to-address-list address-list=sys_ssh_stage1 \
    address-list-timeout=1m chain=sshchain connection-state=new
add action=accept chain=sshchain

Potom stačí z inputu cokoliv (příklad je ssh a winbox) poslat do tohoto chainu:

add action=jump chain=input connection-state=new dst-port=22,8291 \
    jump-target=sshchain protocol=tcp

No a když už je ta IP hajzlem, tak ji seknout i ve zmíněné RAW:

/ip firewall raw
add action=drop chain=prerouting  protocol=tcp src-address-list=sys_ssh_blacklist

Jsou to jen příklady!

krakonos

pgb Ok, to ještě zkusím, stále jsem to řešil na GW.
Jedná se teda o DDoS z hacknutého routeru nebo co je to za typ útoku?

pgb

krakonos bez hlubších znalostí těžko říct, můžu mluvit jen za situaci kterou detailně znám. Většinou to má stejné schéma

klient má veřejnou IP a na ní nezabezpečený tplink/mikrotik/nvr .....
zařízení dostane pokyn z venku a začne odesílat velké množství PPS (na které se cíl většinou snaží nějak reagovat, takže leckdy vidíš up i down)
to vede k ucpání nejužšího místa, ať už CPU při PPS kdekoliv po trase nebo conntrack na natu
dokud to generovaly pouze krabičky typu tplink, bylo to v pohodě. Ve chvíli když nám to na 60G sektoru začal generovat klientův MK, tak nastal trochu problém (ten packet generátor je fakt schopný 🙂 )

Jak se tomu automatizovaně bránit? Těžko. Jak psali ostatní tak ve chvíli kdy se to rozjede na slušné lince, tak už je problém najít co se vůbec děje. Takže když už to nastane, ta u nás seříznu upload co nejblíže k zákazníkovi a zakáži přístup na veřejnou IP. Většinou to zatím stačilo.

Pro zajímavost, jeden zavirovaný kousek byl tak kreativní, že zkoušel podvrhovat SRC adresu, nicméně bcp38 implementuju na hlavní GW i na popech, takže smolík.

gemb

Stane sa mi akakolvek podozriva aktivita od klienta (bez ohladu ci zamerne alebo o tom ani nevie) tak klienta odpojim. Ked sa situacia nevyriesi a bude sa opakovat, rovno taku zmluvnu pokutu, ze bude vytahovat uspory s ponozky. Nechat si zhadzovat siet od obycajneho klienta co plati 5 korun....

ikk

Obecný postup: Za mě provést NetInstall, v případě MK. Pokud TP-Link atd... OpenWRT a zpět na tovární fw. Pokud nepomůže, červený kontejner na elektroodpad. Za ty následné starosti to nestojí.

gsmsoft

Ahoj,kolko povulujete Connection Limit max na 1 klijenta. Ja mam 200

ekrajnak

gsmsoft pytate sa len tak alebo evidujete nejake utoky?

Z mojho pohladu (narodneho tier2 operatora) posledne 3 dni vidim velke mnozstvo odchadzajucich SYN utokov od roznych nasich zakaznikov/ISP. Vzdy synchronne, na rovnaky ciel. Takze zrejme ide o botnet. Vidim to na zneuzitu nejaku novu zranitelnost.

exter01

ekrajnak nazdar, u znameho som riesil pred par dnami ze mu zahlcovalo klientsky mikrotik a tiez sa jednalo o velke mnozstvo SYN smerom von
islo to z jeho cinskeho noname nvr-ka ktore bolo z vonku dostupne na porte 34567 a zjavne to cez ten port natlacilo donho nejaky bordel...

gsmsoft

Presne tak 3 den bojujeme.Osekavam klijentov ktory maju adnormal conect. Preto sa pitam kolko nechavate min. conect ma klijenta

ekrajnak

gsmsoft z nasej pozicie nezasahujeme do trafficu. Ale ak by sme nasli C&C server, mohlo by to pomoct viacerym.
Ake zariadenia to robia / co je infikovane? Viete spravit sniff komunikacie a najst odkial to dostava pokyny?

ekrajnak

gsmsoft mozno triafam uplne zle, ale skuste si zablokovat v sieti IPcku 38.180.188.216
Jej spravanie sa veeelmi podoba riadiacemu serveru pre tento botnet. A urcite dajte vediet, ci nejaka zmena.

Další stránka »