+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Странная "packet storm" / ACK Flood

Странная "packet storm" / ACK Flood, RouterOS

wildbill442

Guest

09.08.2006 21:57:00

Посмотри на этот захват пакетов: по сути, я вижу, что через сеть каждую секунду прорывается более 900 пакетов. Это происходит примерно каждые 30 минут и, похоже, идет изнутри сети. Адреса SRC и DST IP всегда одни и те же, но если посмотреть на некоторые пакеты, то SRC-MAC-адрес меняется между тремя разными MAC-адресами. Я уже отключил все три MAC-адреса и вывел этих пользователей в оффлайн… Но я пытаюсь понять, что может вызывать этот шторм ACK-пакетов… Адреса SRC и DST IP меняются при каждой атаке, но SRC MAC всегда один и тот же из трех MAC-адресов. Похоже, всегда используется TCP, иногда это ACK-пакеты, иногда — “TCP Retransmission”. Я видел подобную активность, вызванную вирусами/червями, но там всегда был один SRC MAC… Не три отдельных MAC-адреса, использующих одни и те же SRC и DST IP-адреса. Я подумал, что это может быть подделанный MAC-адрес, но мне кажется странным, что все три MAC-адреса используются в моей сети. Какие мысли? -Bill

sten Guest	#2 0 10.08.2006 09:40:00 Ты видишь какие-нибудь SYN-пакеты перед подтверждениями (ACK)?

jp1

Guest

10.08.2006 13:25:00

У вас, вероятно, есть какие-то плохо настроенные файрволы клиентов, участвующие в каком-то виде broadcast storm. Когда несколько файрволов находятся в сети, иногда плохо написанные из них так делают. Я видел это у gigafast, dlink и старых linksys bfsr роутеров. Если у вас есть графики трафика на каждом CPE, то те CPE, которые выгружают данные в то же время, что и broadcast, должны помочь вам найти виновников.

wildbill442

Guest

10.08.2006 14:30:00

Все перехваченные пакеты я не видел SYN пакетов. Забавно, что публичный IP-адрес даже не принадлежит MAC-адресам источника. Поэтому не понимаю, почему вообще должна быть реакция на SYN пакет, отправленный на aa.bb.cc.dd, когда aa.bb.cc.dd даже не привязан к MAC-адресу. И в каждой атаке IP-адрес источника разный, а MAC-адреса источника одинаковы в этих трех случаях. Я сузил поиск до одного из MAC-адресов и отключил его. Атаки больше не повторяются. Теперь нужно выяснить, что вызывает это. Спасибо за подсказку, JP, изучу это. Думаю, смогу узнать больше, когда буду на месте.

sten Guest	#5 0 10.08.2006 15:20:00 Говорите, что это затапливает всю сеть? Существует ли MAC-адрес назначения? Это мостовая сеть?

wildbill442 Guest	#6 0 10.08.2006 17:08:00 Да, это распределительная сеть второго уровня. Все устройства увидят 900-1500 пакетов в секунду, когда произойдет атака. DST-MAC у меня в сети нет.

wildbill442

Guest

10.08.2006 17:16:00

Посмотрел внимательнее, а DST-MAC во всех атаках всегда один и тот же (01:00:5e:3c:bc:01). Адреса SRC и DST IP, похоже, подделаны. ::EDIT:: Адрес MAC DST проверил, а он не возвращает никакого валидного вендора. Так что, возможно, и его подделали… Ну, что за этим стоит…

sten Guest	#8 0 10.08.2006 17:40:00 Это атака на вашу сеть. Адрес назначения Ethernet — это широковещательный адрес. Прекратите объединять вашу сеть.

wildbill442

Guest

10.08.2006 18:04:00

Да, это в моём списке задач. Мне досталась плохо спроектированная сеть, но я над ней работаю! Сначала нужно перевести всех пользователей на PPPoE. А потом разбить широковещательные домены станет проще, если развернуть Access concentrators ближе к границе сети. Спасибо за информацию! Предполагаю, что это вызвано вредоносным приложением/кодом/вирусом/червём.

changeip

Guest

#10

10.08.2006 18:32:00

Ты не сможешь подменить MAC-адрес за пределы своей локальной сети… так что, если это атака, то это кто-то в его локальной сети. Скорее всего, где-то на другом конце образовался цикл или зомбированный ПК с каким-нибудь новым вредоносным ПО. Я видел, как эти дешевые blue boxes (и прочие подобные устройства) выплевывают подобную ерунду. Сэм.

sten Guest	#11 0 10.08.2006 18:49:00 Не так уж и редко, эти синие коробочки тоже взламываются!

sten

Guest

#12

10.08.2006 19:06:00

Перечитав твой пост… Сомнительно, если речь не идет о PowerLine или станциях типа macnat (они тебе знатно насорять). Не обязательно новое оборудование, я столкнулся с тем же самым еще в 2002 году от одного сервера Windows 2000. Разные атаки с, казалось бы, корректными src mac-адресами (но не сервера-злоумышленника), невалидными IP-адресами, dst mac-адрес был multicast. Протокол был другой, хотя и выглядел корректным — вроде как IGMP-пакеты (судя по заголовкам), но с "хвостом", содержащим “HAHA\0HAHA\0”. Да, эти устройства ничем не отличаются от остальных — взламываются, модифицируются и относительно легко эксплуатируются или подвергаются влиянию.

wildbill442

Guest

#13

10.08.2006 19:24:00

Скорее всего, какой-то цикл где-то на удалённой стороне. Маловероятно, если только речь не идёт о чём-то вроде PowerLine или станций типа macnat (эти штуки могут здорово запутать). У нас используются Tranzeo CPE (TR-CPQ и TR-5A). Они используют Proxy-ARP для бриджинга.

sten

Guest

#14

11.08.2006 09:56:00

Если это так, то, вероятно, это ни при чём насчёт tranzeo's. Посмотрите в сторону своих серверов или кого-то, кто не использует proxy-arp'd маршрутизацию. (Proxy-arping — это всё ещё маршрутизация, а не мост). Но если они пропускают любой трафик Ethernet, то нельзя исключать tranzeo's из подозреваемых.

wildbill442

Guest

#15

11.08.2006 21:07:00

Насколько я знаю, всё, что принимается по беспроводной сети, вываливается в ethernet-порт и наоборот. Скорее всего, проблема была в вирусе на одном из клиентских компьютеров. Я отключил их подключение, и проблема исчезла. Как раз в этот момент они переезжали офис, так что теперь это проблема другого провайдера.

jarosoup Guest	#16 0 11.08.2006 21:28:00 Эти ребята вообще запускают какие-нибудь Linux-сервера за этой связью?

sten Guest	#17 0 14.08.2006 11:18:00 Похоже, это скорее macnat, а не proxy-arp (для 802.11). К слову, FYI.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры