Nepřetržité DoS útoky ze stejné MAC adresy

[jeanis]

Zdravím vespolek, mám prosbu, zda by někdo neporadil, co dělat s nepřetržitými DoS útoky z totožné MAC adresy, útoky probíhají s přestávkami už mnoho měsíců a způsobují min. tuhnutí routeru, který je blokuje. Útoky jsou pokaždé různého druhu, střídá se dokola Smurf, Synflood a ještě min. jeden. Jsem připojený na optiku co je u nás v baráku a jako bránu používám běžný SoHo router. Provider mi oznámil, že mi pomoct nedokáže a že ta MAC adresa nepatří žádné jejich infrastruktuře. Podle MAC adresy jde o nějakou VMW (00:50:56:80:xx:xx). Předem díky.

[Reklama]

[vomacka]

Podle MAC adresy jde o nějakou VMW (00:50:56:80:xx:xx). Předem díky.

Oskenujte si LAN ISP. Kdyz danou MAC najdete, tak to sdelte ISP at ji laskave dohleda na switchech a mate utocnika.
Za predpokladu, ze ISP mluvi pravdu a ta MAC nepatri routru v infrastrukture ISP.

[P_V]

Provider by ale měl pomoci, protože někdo z jeho klientů porušuje smluvní podmínky a dělá ostatním škodu. Ta MAC adresa od něj dostala IP (když zmiňujete útoky na vyšších vrstvách) a provider má zákonnou povinnost vést evidenci připojení (data retention), takže k té IP bude zajisté mít i informaci o tom, u kterého klienta to je.

[ByCzech]

To bude skvělý provider, když se mu v síti toulá neznámá MAC adresa a dělá neplechu, že si s tím neumějí poradit a řeší to akorát tak, že prohlásí, že to není jejich zařízení a tudíž nezájem.

Nebyl by název providera, abychom věděli, komu se vyhnout?

[Filip Jirsák]

Já si nemyslím, že jsou to útoky ze sítě providera. Je to SOHO router, něco blokuje a tuhne kvůli tomu – já bych si tipnul, že router má problémy sám se sebou, případně je to nějaké smetí v domácí síti.

Pokud chcete problém opravdu vyřešit, začal bych tím, že napíšete, o jaký se jedná router, jak jste přišel na tu MAC adresu a jak jste přišel na to, že jde o útoky Smurf, Synflood.

[Reklama]

[pobot]

přesně tak, o IP zatím víme veta

[jeanis]

Router je Airlive a tu MAC i s druhem útoku mám z jeho logu. Přikládám jako vzorek jeden řádek logu:
Jun 29 11:26:42 kernel: Blocked DoS Attack type :Smurf. , from 00:50:56:80:XX:XX
Žádná pravidla pro filtrování MAC adres na routeru nastavené nemám.

[Filip Jirsák]

Z toho ale není vůbec jasné, jestli ten paket pochází z vnitřní sítě nebo z internetu, ani proč router usoudil, že se jedná o Smurf útok. On to taky mohl být jeden paket se špatnou zdrojovou adresou…

[jeanis]

No víc informací zatím k dispozici nemám, proto se zde dotazuju. Ale vzhledem k tomu, že žádný VMW ani nic podobného neprovozuju, tak by to mělo být asi zvenčí? Jak se to dá zjistit? A jak se dá oskenovat LAN ISP jak někdo doporučoval? Paket se špatnou zdrojovou adresou by se musel vyskytovat opakovaně, ale jak takový paket a jeho zdroj zjistit?

[Sten]

Podle MAC adresy jde o nějakou VMW (00:50:56:80:xx:xx).

Ta MAC adresa je z rozsahu patřícího VMware, jde o nějaký virtuální stroj. ISP nejspíš nic takového ve své síti provozovat nebude.

Router je Airlive a tu MAC i s druhem útoku mám z jeho logu. Přikládám jako vzorek jeden řádek logu:
Jun 29 11:26:42 kernel: Blocked DoS Attack type :Smurf. , from 00:50:56:80:XX:XX
Žádná pravidla pro filtrování MAC adres na routeru nastavené nemám.

Smurf je ICMP paket poslaný na broadcast adresu. To se může stát, třeba pokud máte špatně nastavenou síť a některé vaše stroje mají jinou (větší) masku než router. Nebo pokud někomu unikají pakety z privátní sítě mimo NAT (typická chyba při používání virtuálních strojů). Velmi pravděpodobně ale o žádný útok nejde, Šmouly ignorují snad už všechny operační systémy vydané v tomto tisíciletí.

[jeanis]

Včera to byl pro změnu synflood, dřív to byl i pingflood. Tak či onak, potřeboval bych nějak rozklíčovat kdo/kde je zdroj toho svinčíku, t.j. odhalit nějak tu MAC adresu. U sebe doma ji na 100% nemám.

[Tomáš Roll]

No víc informací zatím k dispozici nemám, proto se zde dotazuju. Ale vzhledem k tomu, že žádný VMW ani nic podobného neprovozuju, tak by to mělo být asi zvenčí? Jak se to dá zjistit? A jak se dá oskenovat LAN ISP jak někdo doporučoval? Paket se špatnou zdrojovou adresou by se musel vyskytovat opakovaně, ale jak takový paket a jeho zdroj zjistit?

Já nevím, školy nemám, v tomhle se nevyznám, ale nestačilo by prostě vytáhnou ten kabel k providerovi, jestli to přestane?

[Filip Jirsák]

Včera to byl pro změnu synflood, dřív to byl i pingflood. Tak či onak, potřeboval bych nějak rozklíčovat kdo/kde je zdroj toho svinčíku, t.j. odhalit nějak tu MAC adresu. U sebe doma ji na 100% nemám.

To si musíte vybrat. Buď chcete odhalit příčinu, nebo chcete věřit ničím nepodloženým tvrzením „doma ji na 100 % nemám“.

Pokud je možnost na tom routeru spustit tcpdump nebo něco podobného, nechte naslouchat dvě instance, jednu na vnitřním rozhraní, jednu na vnějším, a nechte zachytávat ICMP pakety. Tak zjistíte, zda to jde z internetu nebo z vnitřní sítě. Pokud to router neumožňuje, asi nezbyde než před něj dát nějaký počítač s Linuxem a pakety odchytávat tam. Případně pokud máte řiditelný switch, můžete na něm použít zrcadlení portů.

[Kubangc]

Takovejch sracek lita po siti nespocetne.doporucuju vyradit soho router,nahradit necim lepe spravovatelnym (treba mikrotik) a ve firewallu zdrojovou mac adresu dropnout,tapnout moznosti je spousta.a dal to neresit.

[Kubangc]

Jeste je podstatne jestli ti mas od isp verejnou (na tom airlivu),nebo jses za nejakou jejich globalni/lokalni gw.