Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: jeanis 29. 06. 2017, 13:45:39
-
Zdravím vespolek, mám prosbu, zda by někdo neporadil, co dělat s nepřetržitými DoS útoky z totožné MAC adresy, útoky probíhají s přestávkami už mnoho měsíců a způsobují min. tuhnutí routeru, který je blokuje. Útoky jsou pokaždé různého druhu, střídá se dokola Smurf, Synflood a ještě min. jeden. Jsem připojený na optiku co je u nás v baráku a jako bránu používám běžný SoHo router. Provider mi oznámil, že mi pomoct nedokáže a že ta MAC adresa nepatří žádné jejich infrastruktuře. Podle MAC adresy jde o nějakou VMW (00:50:56:80:xx:xx). Předem díky.
-
Podle MAC adresy jde o nějakou VMW (00:50:56:80:xx:xx). Předem díky.
Oskenujte si LAN ISP. Kdyz danou MAC najdete, tak to sdelte ISP at ji laskave dohleda na switchech a mate utocnika.
Za predpokladu, ze ISP mluvi pravdu a ta MAC nepatri routru v infrastrukture ISP.
-
Provider by ale měl pomoci, protože někdo z jeho klientů porušuje smluvní podmínky a dělá ostatním škodu. Ta MAC adresa od něj dostala IP (když zmiňujete útoky na vyšších vrstvách) a provider má zákonnou povinnost vést evidenci připojení (data retention), takže k té IP bude zajisté mít i informaci o tom, u kterého klienta to je.
-
To bude skvělý provider, když se mu v síti toulá neznámá MAC adresa a dělá neplechu, že si s tím neumějí poradit a řeší to akorát tak, že prohlásí, že to není jejich zařízení a tudíž nezájem. :D
Nebyl by název providera, abychom věděli, komu se vyhnout?
-
Já si nemyslím, že jsou to útoky ze sítě providera. Je to SOHO router, něco blokuje a tuhne kvůli tomu – já bych si tipnul, že router má problémy sám se sebou, případně je to nějaké smetí v domácí síti.
Pokud chcete problém opravdu vyřešit, začal bych tím, že napíšete, o jaký se jedná router, jak jste přišel na tu MAC adresu a jak jste přišel na to, že jde o útoky Smurf, Synflood.
-
přesně tak, o IP zatím víme veta
-
Router je Airlive a tu MAC i s druhem útoku mám z jeho logu. Přikládám jako vzorek jeden řádek logu:
Jun 29 11:26:42 kernel: Blocked DoS Attack type :Smurf. , from 00:50:56:80:XX:XX
Žádná pravidla pro filtrování MAC adres na routeru nastavené nemám.
-
Z toho ale není vůbec jasné, jestli ten paket pochází z vnitřní sítě nebo z internetu, ani proč router usoudil, že se jedná o Smurf útok. On to taky mohl být jeden paket se špatnou zdrojovou adresou…
-
No víc informací zatím k dispozici nemám, proto se zde dotazuju. Ale vzhledem k tomu, že žádný VMW ani nic podobného neprovozuju, tak by to mělo být asi zvenčí? Jak se to dá zjistit? A jak se dá oskenovat LAN ISP jak někdo doporučoval? Paket se špatnou zdrojovou adresou by se musel vyskytovat opakovaně, ale jak takový paket a jeho zdroj zjistit?
-
Podle MAC adresy jde o nějakou VMW (00:50:56:80:xx:xx).
Ta MAC adresa je z rozsahu patřícího VMware, jde o nějaký virtuální stroj. ISP nejspíš nic takového ve své síti provozovat nebude.
Router je Airlive a tu MAC i s druhem útoku mám z jeho logu. Přikládám jako vzorek jeden řádek logu:
Jun 29 11:26:42 kernel: Blocked DoS Attack type :Smurf. , from 00:50:56:80:XX:XX
Žádná pravidla pro filtrování MAC adres na routeru nastavené nemám.
Smurf je ICMP paket poslaný na broadcast adresu. To se může stát, třeba pokud máte špatně nastavenou síť a některé vaše stroje mají jinou (větší) masku než router. Nebo pokud někomu unikají pakety z privátní sítě mimo NAT (typická chyba při používání virtuálních strojů). Velmi pravděpodobně ale o žádný útok nejde, Šmouly ignorují snad už všechny operační systémy vydané v tomto tisíciletí.
-
Včera to byl pro změnu synflood, dřív to byl i pingflood. Tak či onak, potřeboval bych nějak rozklíčovat kdo/kde je zdroj toho svinčíku, t.j. odhalit nějak tu MAC adresu. U sebe doma ji na 100% nemám.
-
No víc informací zatím k dispozici nemám, proto se zde dotazuju. Ale vzhledem k tomu, že žádný VMW ani nic podobného neprovozuju, tak by to mělo být asi zvenčí? Jak se to dá zjistit? A jak se dá oskenovat LAN ISP jak někdo doporučoval? Paket se špatnou zdrojovou adresou by se musel vyskytovat opakovaně, ale jak takový paket a jeho zdroj zjistit?
Já nevím, školy nemám, v tomhle se nevyznám, ale nestačilo by prostě vytáhnou ten kabel k providerovi, jestli to přestane?
-
Včera to byl pro změnu synflood, dřív to byl i pingflood. Tak či onak, potřeboval bych nějak rozklíčovat kdo/kde je zdroj toho svinčíku, t.j. odhalit nějak tu MAC adresu. U sebe doma ji na 100% nemám.
To si musíte vybrat. Buď chcete odhalit příčinu, nebo chcete věřit ničím nepodloženým tvrzením „doma ji na 100 % nemám“.
Pokud je možnost na tom routeru spustit tcpdump nebo něco podobného, nechte naslouchat dvě instance, jednu na vnitřním rozhraní, jednu na vnějším, a nechte zachytávat ICMP pakety. Tak zjistíte, zda to jde z internetu nebo z vnitřní sítě. Pokud to router neumožňuje, asi nezbyde než před něj dát nějaký počítač s Linuxem a pakety odchytávat tam. Případně pokud máte řiditelný switch, můžete na něm použít zrcadlení portů.
-
Takovejch sracek lita po siti nespocetne.doporucuju vyradit soho router,nahradit necim lepe spravovatelnym (treba mikrotik) a ve firewallu zdrojovou mac adresu dropnout,tapnout moznosti je spousta.a dal to neresit.
-
Jeste je podstatne jestli ti mas od isp verejnou (na tom airlivu),nebo jses za nejakou jejich globalni/lokalni gw.
-
Filip Jirsák: to tvrzení je podložené natolik, nakolik za tím routerem mám celkem 2 PC a na žádném není VMW. To zachytávání zkusím zprovoznit, ale nevím, zda to zvládnu...
Kubangc: nemám veřejnou IP. Ten router umožňuje nastavení MAC control, ale moc netuším, jak to nastavit, abych se nezablokoval. Asi taky budu muset požádat ISP o MAC té jejich krabičky, ze které to do mě sypou, pokud se teda ta MAC control týká provozu z vnějšku.
-
to tvrzení je podložené natolik, nakolik za tím routerem mám celkem 2 PC a na žádném není VMW.
Tedy vůbec. Protože ta MAC adresa může patřit kterémukoli zařízení, třeba mohla být zvolena náhodně. Už jenom proto, že z ní podle vás přicházejí útoky, netuším, kde berete tu víru, že je pravá.
To zachytávání zkusím zprovoznit, ale nevím, zda to zvládnu...
Bez toho není co řešit. I kdyby to byl útok z vnější sítě, se zachycenými pakety nebo aspoň jejich hlavičkami už může ISP něco dělat. Z těch zpráv z logu, které jste sem dával, není jasné vůbec nic, takže to ISP může těžko nějak řešit.
Ten router umožňuje nastavení MAC control, ale moc netuším, jak to nastavit, abych se nezablokoval. Asi taky budu muset požádat ISP o MAC té jejich krabičky, ze které to do mě sypou, pokud se teda ta MAC control týká provozu z vnějšku.
MAC control obvykle znamená kontrolu spárování MAC adresy a IP adresy ve vnitřní síti, nebo povolení přístupu jen uvedených MAC adres z vnitřní sítě. Kontrolovat MAC adresy na vnějším rozhraní nedává smysl, protože tam by v ideálním případě měla být jen jedna MAC adresa – adresa routeru ISP.
-
Mac control je: mac filtr pristupu z vnitrni site.jestli se nepletu tak na wan portu airlive routeru nic takovyho neni-nedavalo by to smysl