Pár napja az egyik gépemet 20-90Mbit/s bejövő forgalom terheli.
Milyen szoftverrel lehetne felderíteni könnyen és gyorsan a támadó(k) IP címeit?
- 3556 megtekintés
Hozzászólások
tcpdump, WireShark, netstat
- A hozzászóláshoz be kell jelentkezni
iptraf. Többet tud, mint gondolnád.
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
Ez jónak tűnik, de hogyan tudom a legnagyobb kbit/s szerint rendezni?
Lehet tévedek, de itt a legtöbb küldött bájt vagy csomag alapján lehet rendezni és mondjuk ezen a gépen van ami igen nagy forgalmat bonyolít. De a támadás időszakos és épp az előbb 95Mbit/s volt.
- A hozzászóláshoz be kell jelentkezni
S gomb.
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
iftop lett a nyerő, de azért köszi!
- A hozzászóláshoz be kell jelentkezni
Az iptraf és iftop szoftverek által már jó pár ip címet sikerült begyűjteni akik valamiféle támadással terhelik a gépemet.
Az a furcsa, hogy a source és destination ip address egyik sem az enyém és nincs semmilyen interfacre felvéve, tehát úgy néz ki mintha valami módon rajtam keresztül szeretne menni, de csak bejövő forgalom van!
Már elküldtem a szolgáltatómnak a bejelentést róla, de szeretném tudni, hogy ezt hogy csinálják?
- A hozzászóláshoz be kell jelentkezni
"a source és destination ip address egyik sem az enyém és nincs semmilyen interfacre felvéve"
Broadcast? Nézd meg, hogy milyen forgalom jön az adott IP-kről.
- A hozzászóláshoz be kell jelentkezni
tcpdump:
...
17:50:02.657557 IP 87.229.106.94.1217 > 195.56.172.46.58769: . 14600:16060(1460) ack 1 win 65535
17:50:02.657685 IP 87.229.106.94.1217 > 195.56.172.46.58769: P 16060:17520(1460) ack 1 win 65535
17:50:02.657807 IP 87.229.106.94.1217 > 195.56.172.46.58769: . 17520:18980(1460) ack 1 win 65535
...
ngrep: (ez a másik ip páros)
195.56.172.123:1287 -> 195.56.172.35:41447 [A]
..N..V..eo.......Q.|..0!.|..=..p67...;.E(r..T......w..Sr..,.[._..~.....Fs(.
.. ....rlM*.V...[......#.......g.K.o..).n..%o.yu[.|..7.s`n..r$on.b%o$n,...7
[.....[.........C.t.3...8...4o.P.g7.....(c..............F..z.....A....k...{
>...j......f..o._...DoXc|....@ ....o.R.f....&...S}'....Nd!..........}_.C.q.
....m.[(.....E.....D........7:.G..8.........r...D.7.F....._..&V...4u./...|.
.o.`......#!7.\sr..cSU.G5.QZ...d*F..F.e.{;.....[=...0....l.x...E...P...dF.[
.....k}T...p..=..}.. ......t.....7.[....^j......}.....-O.7.dn..0..oczw..o.
....~V.u...jo.#t..9...TnV.....AD~A..%...........D.^.................>$o.`..
}ho.....r...-..J..G.y.fyZ."x..............Wd....>.....9...M..E..c9+J.....].
IE...i6.-..Kmo.M.$..zOo..d.M.$.z#qn.{qH....aH....l......Z..J........#m....7
...=-...^.u..47...(.....::$n...l9VF.mko....9.eZ.....n.:MV.cB.O...>...'.....
........N..G.]6..................1....m..tEQ......Sz:.........;.tF.=.{.B...
..]~.pcl....1....7......+.-.w..Ko<....,.Q......_...........>....$:.h.+.:.'J
R...>.....h...T.H}or.?..z...Z8.k.5.V7...y.R...z..[mj8.k..&f...V....o+...4..
j..........c.H....K.4.O.n..f...^..#x.L....Z.t.....S.T{O..*7..>..o.|.m..}.[.
tF.g.o..B.....%.F./.......j..[.........Un.........%msU.-...F......x....82..
.?.{.sP.......|o....a.FS.....y....)...._.&.>.........v..Oo.8..6.v.....o....
-.9.*Unl...]'...T.S.9.=..K.f(.>.H]o...x..]/...K..d..9RE.o.b......6.......Z.
..n.RJ..o....m.....G.....?.{z...[M7iv...#..q.-..?.[D./...x..m.ZZT.n.<..x.K~
.Q..B.m....N].I.....5....3%....x..F
- A hozzászóláshoz be kell jelentkezni
A 195.56.172.46 a te eszközöd ip címe?
- A hozzászóláshoz be kell jelentkezni
Épp ez az, hogy abszolút nincs hozzá közöm!
- A hozzászóláshoz be kell jelentkezni
Szólj az ISP-nek mielőtt hatalmas megatámadást gyanítasz és második körben csak a saját ip(id)re engedd be a forgalmat a többiek meg drop. Nem egyszer jártunk már mi is így, hogy elkezdték az egyik IP-nk vmi tökidegen cucc forgalmát tolni.
- A hozzászóláshoz be kell jelentkezni
Én is ezt tenném, de ráadásként csak ezen a gépen a iptables valamiért nem működik, asszem kernelt kellene újat forgatni rá, bár érdekes, hogy ugyan ezzel a telepítővel egy másik gépen kernel forgatás nélkül is működik. :S
Amúgy igazából így is elég nagy a támadás mert vannak olyan 95Mbit/s csúcsok is néha!
- A hozzászóláshoz be kell jelentkezni
Ez egy látszólag kiépült TCP session volt. De ez így még kevés, nézzük egy kicsit részletesebben:
tcpdump -i eth0 -nev -s 1500 ...
A saját MAC-addressedre jön, máséra, vagy esetleg broadcastként? A forrás vagy cél IP beleesik-e a te hálózatodba?
Ha nem broadcast, és nem kizárólag ezt az egy IP-t látod célcímként, akkor valószínűleg a szolgáltatói switch van félrekonfigurálva.
- A hozzászóláshoz be kell jelentkezni
A tcpdumpot majd futtatom ha jön a forgalom, mert csak időszakos és akkor majd illesztek be ide belőle.
"A forrás vagy cél IP beleesik-e a te hálózatodba?"
Ha jól tudom ezek mind ennél a szolgáltatónál vannak, maximum más alszolgáltatónak van tovább adva.
"Ha nem broadcast, és nem kizárólag ezt az egy IP-t látod célcímként, akkor valószínűleg a szolgáltatói switch van félrekonfigurálva."
Több ip páros van amik ilyen forgalmat generálnak, már írtam a szolgáltatónak e-mailt pár screenshot csatolásával, remélem ha a switchben van a hiba akkor megcsinálják.
- A hozzászóláshoz be kell jelentkezni
19:58:22.813481 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29054, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.3900 > 195.56.172.35.51412: . 7300:8760(1460) ack 1 win 65535
19:58:22.813604 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29055, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.3900 > 195.56.172.35.51412: P 8760:10220(1460) ack 1 win 65535
19:58:22.814710 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29100, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4124 > 195.56.172.46.34999: . 7220:8680(1460) ack 1 win 65535
19:58:22.814831 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29101, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4124 > 195.56.172.46.34999: . 8680:10140(1460) ack 1 win 65535
19:58:22.814958 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29102, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4124 > 195.56.172.46.34999: . 10140:11600(1460) ack 1 win 65535
19:58:22.815205 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29132, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.3900 > 195.56.172.35.51412: . 10220:11680(1460) ack 1 win 65535
19:58:22.815328 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29133, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.3900 > 195.56.172.35.51412: . 4380:5840(1460) ack 1 win 65535
19:58:22.815451 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29134, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.3900 > 195.56.172.35.51412: . 5840:7300(1460) ack 1 win 65535
19:58:39.751625 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29481, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9508560:9510020(1460) ack 1 win 65535
19:58:39.751746 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29482, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: P 9510020:9511480(1460) ack 1 win 65535
19:58:39.752288 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29495, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9511480:9512940(1460) ack 1 win 65535
19:58:39.752413 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29496, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9512940:9514400(1460) ack 1 win 65535
19:58:39.752687 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29511, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9514400:9515860(1460) ack 1 win 65535
19:58:39.752808 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29512, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9515860:9517320(1460) ack 1 win 65535
19:58:39.753408 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29542, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9517320:9518780(1460) ack 1 win 65535
19:58:39.753529 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29543, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: P 9518780:9520240(1460) ack 1 win 65535
19:58:39.753669 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29563, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9520240:9521700(1460) ack 1 win 65535
19:58:39.753791 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29564, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9521700:9523160(1460) ack 1 win 65535
19:58:39.754426 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29611, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9523160:9524620(1460) ack 1 win 65535
19:58:39.754549 00:1e:8c:2d:6b:2f > 00:15:17:94:8c:48, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 128, id 29612, offset 0, flags [DF], proto: TCP (6), length: 1500) 195.56.172.123.4262 > 195.56.172.46.34672: . 9524620:9526080(1460) ack 1 win 65535
- A hozzászóláshoz be kell jelentkezni
Nah már ezt nagyon nem vágom ... betettem iptablesbe az összes ip címet, hogy droppolja, de nem csinál semmit ...
- A hozzászóláshoz be kell jelentkezni
A kérdés még mindig az, hogy mi a te MAC címed. Ha a 00:15:17:94:8c:48, akkor lehet az AsusTek hálózati kártyával rendelkező gép routing problémája, ha nem ez, akkor viszont a szolgáltatói switch a gyanús. Érdekes még az is, hogy a forgalomnak csak az egyik irányát látod.
"betettem iptablesbe az összes ip címet, hogy droppolja, de nem csinál semmit"
Ezek szerint nem neked szól, azaz a fenti kérdésre sejthető a válasz.
A szolgáltató válaszát illetve intézkedését kellene megvárni, vagy ha nyugtalanít, akkor érdeklődj náluk, hogy mire jutottak.
- A hozzászóláshoz be kell jelentkezni
Nem az én MAC címem, akkor tehát a szolgáltatói switch lehet a baj?
Igazából a szolgáltatótól nem érkezett érdemleges válasz és intézkedés, elvileg utána néznek és kiderítik mi a baj.
- A hozzászóláshoz be kell jelentkezni
"Nem az én MAC címem, akkor tehát a szolgáltatói switch lehet a baj?"
A baj szó ebben az esetben egyfelől értelmezés és felfogás kérdése, másrészről a fizikai interfészen megjelenő forgalom relatív nagysága is fontos.
Ethernet hálózatot használva abban az értelemben nem jelent különösebben semmit, hogy a nem neked szóló csomagokkal a processzor nem foglalkozik, ugyanis a hálózati kártya tovább sem adja, kivéve, ha azt promiscuous módba állítod. Hacsak nem forgalomarányos a géped hostingjának a díja, akkor ez pénzügyileg sem, és teljesítményben sem érint.
A másik oldalról viszont a feléd eső switchport sávszélességét terheli. Ez akkor probléma, ha a te géped felé abban a pillanatban nagyobb normál forgalom menne, mint amekkora szabad sávszélesség maradt a porton.
Ezektől függetlenül switch mögött ilyen, nem neked szóló forgalmat nem kellene látnod.
- A hozzászóláshoz be kell jelentkezni
Jelenleg 100Mbit/s switch porton van a gép és vannak olyan pillanatok amikor ezt a nem nekem szóló forgalom majdnem kitölti, ugyan nem nagy a normál bejövő forgalmam, de vannak alkalmazások amiknél érezhető a probléma.
- A hozzászóláshoz be kell jelentkezni
Általában ha valami valameddig jó volt és egyszer csak probléma jelentkezik nála fel szokott merülni bennem a kérdés, hogy "Mi változott meg?" ... Egy (legális) webrádiót tettem a gépen futó egyik virtuális gépre és kb. 1 napon belül már el is kezdődött a feltűnő hálózati forgalom, de az adott virtuális gépen nem jelentkezik ilyen forgalom, de mivel a műsorvezetők töltik fel az élő műsort így van amikor jelentkezik a probléma.
- A hozzászóláshoz be kell jelentkezni
Érdekes, hogy mindkét IP-n van proxy, egyiken a 8080-ason másikon az 50000-es porton.
Valamint a 87.229.106.94 egy ftp szerver ami a 9999-es porton van (gene6), de van az 5555-es porton is egy ftp szerveruk (filezilla) :).
Nem tudom lehet, hogy hulyeseget fogok mondani, de nem lehet hogy azt a latszatot akarjak mutatni, mintha a te szerverednek is lenne koze hozzajuk?
Csak mert ugye most van a nagy razzia. (vagy csak valaki siman valamit elbenazott)
Amugy mi az a sok nyitott port itt: 195.56.172.35 szerintetek?
- A hozzászóláshoz be kell jelentkezni