classic.ISPforum.cz

Čaute,

rieším na škole teraz jeden problém. Štruktúra je jednoduchá, brána školy je nejaký Cisco ASA 5505 a ďalej je všetko na jednom subnete, swichované.

Minulý týždeň som spozoroval spomalenie internetu. Trochu sa to vlieklo a dnes som to trochu analyzoval. Medzi ASA box a prvý switch som vsunul RB433 v bridge mode.

Prívod pre školu je garant 12/0,5Mbps. Za normálnych okolností je na sieti ticho. Avšak, raz za nejakú dobu (minútu, dve) sa cez switche preženie obrovské množstvo dát (celý 100Mbps interface na RBčku nestačil). Jednalo sa v špičke cez 68kpps. Trvá to asi 15-20 sekúnd.

Podľa torchu sa jedná stále o dáta posielané v broadcaste na a z UDP portu 1900. Zdrojová aj cieľová IP je rôzna, rovnako ako sila a pravidelnosť. Pri týchto floodoch padne celej škole internet, switche zrejme nestíhajú, prívod do školy už ani nehovorím, sieťové tlačiarne a projektory sa nedajú používať.

Nestretli ste sa s tým niekto? Jedná sa o SSDP Amplification DDoS útok, alebo to môže byť niečo iné, nejaké zauzlenie switcha alebo podobne?



Vďaka za každú radu!
Blažej

P.S. Pripájam nejaké screenshoty: http://uploads.ekrajnak.com/flood/

je ftipný používat značky jako cisco a alcatel a nekouknout se do nich odkud to teče... vůbec bych neřešil co to posílá ale kdo to posílá. Neni náhoda že v těchto dnech jsou útoky na cz jabber atd.. takže předpokládám že máš nějakej marast v nějakym počítači což zjistíš na průtoku v managementu switche odkud to jde.

1) Všetky Cisco zariadenia v škole sú dodané Infovekom (celoštátnym projektom). Bodom rozhrania je ASA 5505 do ktorej prístup nemám a aj tak slúži ako veľký NAT, takže za ňou nič nezistím.

2) Switche na škole sú OmniSwich 6850-24 a za ním OmniStack LS6248. Všetko nemenezovateľné switche, neviem. Ale konzolové vstupy majú, tak teda niečo by sa skúsiť dalo.

3) Ale aj tak, ja viem odkiaľ to prichádza. V screenshotoch sú Torche, čiže presne viem odkiaľ to ide. Stále sú to iné IPčky, dokonca aj nejaké IPv6 Link local, čo je dosť divné. Čiže neviem či práve tie PC sú zdrojom útoku. Skôr by som tipoval na Amplification DDoS, ale tak neviem to potvrdiť, preto prosím o pomoc.

A nedělá se ti spíše někde jendoportová smyčka? Takový ethernet kabel ležící pod kolečkem židle, když je lehce rozdrcen, to dokáže být sranda, když po něm sekretářka pojíždí sem a tam... Ale jestli máš všudé tupé switche, tak budeš hledat dlouho....

Jednoportová slučka? To počujem prvykrát. Nejaký tip ako to rýchlo nájsť a detekovať?

SSDP zesilující útok to asi nebude. Ten se dělá tak, že pošleš jeden multicast (nebo i jako unicast na konkrétí zařízení) paket s SEARCH * požadavkem, kde jako zdrojovou IP adresu uvedu toho, koho chceš bombardovat odpovědima a oslovení zpět pošlou klidně zpět pár desítek paketů už unicast odpovědí.
V těch screenshotech ti pobíhá natočeno i další multicasty (DHCPv6, ICMPv6) nebo i ARP na hodně Mbps, takže záleží, co se ti právě na smyčce otočí. Tím pádem je to spíše L2 smyčka a jen SSDP tam padá nejlépe, že je tam dost komplů to pravidelně produkující.

Jednoportová smyčka ti nemusí ani zahltit celou síť pakety na 100%, ona hlavně způsobí únos bridge tabulek směrem k tomu portu, takže to úspěšně shazuje většinu komunikace.

Na tupé sítí máš jen možnost - vstát, dojít tam, rozpůlit síť na dvě části a koukat v které bude to blbout dál a takto půlením intervalu ti zůstane jedne switch a pak jít port po portu....

Majklik píše:SSDP zesilující útok to asi nebude. Ten se dělá tak, že pošleš jeden multicast (nebo i jako unicast na konkrétí zařízení) paket s SEARCH * požadavkem, kde jako zdrojovou IP adresu uvedu toho, koho chceš bombardovat odpovědima a oslovení zpět pošlou klidně zpět pár desítek paketů už unicast odpovědí.
V těch screenshotech ti pobíhá natočeno i další multicasty (DHCPv6, ICMPv6) nebo i ARP na hodně Mbps, takže záleží, co se ti právě na smyčce otočí. Tím pádem je to spíše L2 smyčka a jen SSDP tam padá nejlépe, že je tam dost komplů to pravidelně produkující.

Jednoportová smyčka ti nemusí ani zahltit celou síť pakety na 100%, ona hlavně způsobí únos bridge tabulek směrem k tomu portu, takže to úspěšně shazuje většinu komunikace.

Na tupé sítí máš jen možnost - vstát, dojít tam, rozpůlit síť na dvě části a koukat v které bude to blbout dál a takto půlením intervalu ti zůstane jedne switch a pak jít port po portu....

Majklik vďaka za tvoj čas, skutočne máš pravdu že sa tam točia aj iné protokoly. Zajtra to pôjdem preveriť. Ešte raz vďaka!

Možno ešte jedna otázka: prečo to robí tie smyčky iba niekedy a nie vkuse?

Dle mojich zkušeností L2 "jednodrátová" smyčka udělá takový bugr, že by se na ten mikrotik asi ani nepodíval. Já sázím spíš na to, že mu jeden z počítačů dělá právě DDoS bota. Já už tyhle porty radši zakazuji preventivně (1900, 17 a 19)

A tuhle smyčku uděláš jednoduše ... vezmi dva switche, propoj je. A v jednom spoj dva další porty navzájem. A sleduj Někdy to chvilku trvá, podle toho jak a co zrovna po síti běhá, ale výsledek zaručen.
Vtipné je, že některé switche to ani nerozchodí bez rebootu, to je pak sranda hledat.

Switche bez loopback-detection nesmí nikam, kde je schopný kdokoliv něco takového udělat. Ve škole bych si prostě tipnul, že nějaký studentík si hraje ... nebo jde uklízečka, vidí kabel který vypadá, že někam patří - a zastrčí ho do volné dírky ve zdi.

Ale jak říkám, podle mě tohle tvůj problém nebude. Zkus to sledovat packet snifferem, třeba ti ty MAC adresy něco řeknou.

ludvik píše: Já už tyhle porty radši zakazuji preventivně (1900, 17 a 19).

Chcel by som spraviť to isté, ale je tu otázka: mne ten mega dátový tok prúdi do broadcastu, nie von cez bránu. Ale ak to budem dropovať na bráne, neprejde broadcast switchom a aj tak zahltí počítače?

ludvik píše:Dle mojich zkušeností L2 "jednodrátová" smyčka udělá takový bugr, že by se na ten mikrotik asi ani nepodíval. Já sázím spíš na to, že mu jeden z počítačů dělá právě DDoS bota. Já už tyhle porty radši zakazuji preventivně (1900, 17 a 19)

A tuhle smyčku uděláš jednoduše ... vezmi dva switche, propoj je. A v jednom spoj dva další porty navzájem. A sleduj Někdy to chvilku trvá, podle toho jak a co zrovna po síti běhá, ale výsledek zaručen.
Vtipné je, že některé switche to ani nerozchodí bez rebootu, to je pak sranda hledat.

Prvně, běhá mu v těch výpisech i megabity jiného bordelu, než jen SSDP UDP, proto soudím na smyčku.
Druhák, co popisuješ není fakticky jendoportová smyčka. Je to kruh udělaný na blbém switchi, kdy propojením dvou portů na blbém switchi posílá pořád dokola multicast/broadcast, co snese kapacita toho switche a tlačí to uplinkem do zbytku sítě. Jednoportová se tomu říká z pohledu stavu, že mám své switche, které mám pod kontrolou a někdo k tomu jedmím portem připojí switch na kterém udělá smyčku přes dva porty. Ano, toto ti odrovná celou síť totálně a trvale.
Já popisuji stav, kdy skřípneš jeden kabel zapojený do switche tak, že to udělá zkrat na párech a port sám sebe propojí TX/RX eletricky. Propojí ho na half duplex a často jen na 10 Mbps, někdy 100 Mbps. V podstatě to vyhodnotí, že je připojen hub. Tato smyčka umí zesilovat jen 2x, co port pošle do drátu, to se jedenkrát vrátí a pošle dál do sítě (switch to už zpět zase na port nepošle, co tím portem přijal), takže to jen dvojnásobí provoz, ale pokud něco v síti na ten provoz reaguje, tak to dokáže také slušně znásobit. Ta smyčka není často ani moc stabilní, díky synchronizaci často přenese jen kratší pakety a chvíli jede a chvíli nejede. Takto skříplé dráty jsem už viděl několikrát a dle toho, jak se kolem nich dupalo, to buď smyčkovalo nebo vedlo i normálně. Takovouto smyčku ti dkáže i udělat, když ke switchi připojíš něco s dobře vypáleným ethernet portem (mám v šuplíku i noname malej switch, který takto vyzkratuje port když není pod napětím - je v elektrice, vše jede má, vypneš ho, udělá takto pasivní hub smyčku na portu).

Možno zaujímavosť a možno náhoda. Na všetkých okrem posledného Torch screenshotu sa vyskytuje jedna IPv6 adresa stále:



Môže to byť ten sender UDP multicastu pre SSDP Amfilication?

Majklik píše:

ludvik píše:A tuhle smyčku uděláš jednoduše ... vezmi dva switche, propoj je. A v jednom spoj dva další porty navzájem.

Druhák, co popisuješ není fakticky jendoportová smyčka. Je to kruh udělaný na blbém switchi, kdy propojením dvou portů na blbém switchi posílá pořád dokola multicast/broadcast, co snese kapacita toho switche a tlačí to uplinkem do zbytku sítě. Jednoportová se tomu říká z pohledu stavu, že mám své switche, které mám pod kontrolou a někdo k tomu jedmím portem připojí switch na kterém udělá smyčku přes dva porty. Ano, toto ti odrovná celou síť totálně a trvale.

Jen pro pořádek ... vždyť mluvíme o tom samém ...

btw: zdroje packetovych bourek se dohledavaji docela dobre pokud mas od vsech portu na switchich grafy (vsechny porty maji zvyseny pocet non-unicast packetu v odchozim smeru ze switche a jen jeden prichozi). Pokud grafy nejsou tak je to prekerka (i kdyz jsou switche manageovatelne tak vetsinou ani dohled nefunguje protoze sit je v kreci).
Usuzovat podle SRC IP na skodice je v techle pripadech sazka na spatnyho kone. Ale melo by jit jednoduse zkontrolovat tu stanici s danym IP/MAC a proverit jestli vysila normalne nebo ne.

Dobre, takźe ako by to nebolo dosť zamotané, pridávam dnešné poznatky.

1) V prílohe posielam screenshoty, kde je jasne vidieť že každý koncový PC má vyťažený ethernet interface na 100% pri tých "búrkach".

2) Dnes som v Mikrotik logu našiel hlášku (viď. prílohu screenshotov), ktorá potvrdzuje loopback: ether1 excessive broadcasts / multicasts, probably a loop. Čiže fakt to vyzerá skôr na loopback, ako na SSDP flood, ako som predpokladal.

3) Na druhej strane môžem 2. bod vyvrátiť pretože: skúsil som spraviť ja slučku priamo s ethernetovým káblom. Mohol som robiť čokoľvek, prepájať jeden switch s druhým. navzájom aj medzi sebou (OmniStack s OmniSwitchom) no žiadnu slučku sa mi nepodarilo spraviť, pingy aj dáta tiekli v poriadku, žiadne zauzlenia, nič. Čiže tie switche majú zrejme ochranu proti smyčkám.


Ďalej som skúsil postupovať podľa rád. Odpojil som polovicu školy, ale aj tak sa loopbacky objavili. Tak som odpájal ďalej, až kým neprestali. Avšak, keď som potom pripojil všetko naspäť, viac sa tie loopbacky neobjavili, všetko utíchlo. Čakal som tam asi 40 minút; torch aj pingy boli úplne v poriadku.



Tak teda fakt neviem čo s tým ďalej Alebo byť zatiaľ iba spokojný, že to frčí

Screenshoty: http://uploads.ekrajnak.com/flood/new-20-11-2014/