UDP flood 300 Kbps + sonde SYN / altri attacchi. Flood o DDoS a bassa velocità?

3

Quindi, per oltre 2 settimane, Im riceve ciò che appare una combinazione di attacchi non-stop 24/7 .

Prima questa UDP alluvione a una velocità stranamente piccola di 280 Kbps / 110 pps (360 byte di lunghezza)

02:29:41.978484 IP (tos 0x0, ttl 48, id 56020, offset 0, flags [DF], proto UDP (17), length 360)
    120.xxx.xxx.xxx.15070 > 200.xxx.xxx.xxx.7072: [udp sum ok] UDP, length 332

        0x0030:  fefe 7f7f fefe 7f7f fffe ff7f fffe fe7f  ................
        0x0040:  7ffe fe7f 7ffe ff7f 7eff feff ff7e fefe  ........~....~..
        0x0050:  ff7e 7ffe ffff 7e7f feff 7f7e fffe 7f7f  .~....~....~....
        0x0060:  7efe ffff 7e7f fefe ff7e ffff ffff 7efe  ~...~....~....~.
        0x0070:  ff7f 7e7f feff 7f7e ffff 7f7e 7ffe 7f7e  ..~....~...~...~
        0x0080:  7eff ffff 7e7f feff 7e7e feff 7f7e ffff  ~...~...~~...~..
        0x0090:  ff7f ffff 7f7e fffe 7f7f 7efe ff7f 7ffe  .....~....~.....
        0x00a0:  fe7f 7f7f fefe 7f7e fffe ff7f 7efe feff  .......~....~...
        0x00b0:  7eff feff 7f7e fffe ff7f 7ffe feff 7efe  ~....~........~.
        0x00c0:  feff 7e7f feff ff7f fefe 7f7f 7ffe fe7f  ..~.............
        0x00d0:  7e7f feff 7f7f fefe 7f7e fefe ff7e feff  ~........~...~..
        0x00e0:  7f7e ffff ff7e fffe ff7f 7ffe ff7f 7eff  .~...~........~.
        0x00f0:  feff 7f7e fffe 7f7e 7efe ff7f 7e7f fefe  ...~...~~...~...
        0x0100:  7f7e 7fff ff7f 7fff fe7f 7e7f feff 7e7e  .~........~...~~
        0x0110:  fffe 7f7e 7ffe 7f7e 7eff fe7f 7e7e fefe  ...~...~~...~~..
        0x0120:  7f7e fffe ff7e 7efe ff7f 7eff ff7f 7efe  .~...~~...~...~.
        0x0130:  ff7f 7eff feff 7fff feff 7e7f feff 7e7e  ..~.......~...~~
        0x0140:  fefe ff7f 7ffe feff 7f7e fefe 7f7e fffe  .........~...~..
        0x0150:  fe7f 7ffe feff ff7f fefe ff7f fffe feff  ................
        0x0160:  7ffe fefe 7f7f fefe                      ........

Sono pacchetti non-stop con la stessa destinazione e lo stesso IP sorgente.

Simultanome, sono colpito da una combinazione di porte TCP casuali + porta 445, con una velocità inferiore di 5 pacchetti al secondo. Sembrano essere gli scanner SYN / 445 tentativi di bussare alla porta.

    43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.40476: Flags [S.], cksum 0xaee4 (incorrect -> 0xaedc), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:49.862649 IP (tos 0x0, ttl 239, id 19108, offset 0, flags [DF], proto TCP (6), length 48)
    43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.9752: Flags [S.], cksum 0x4dcf (incorrect -> 0x4dc7), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:50.644298 IP (tos 0x0, ttl 239, id 61707, offset 0, flags [DF], proto TCP (6), length 48)
    43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.22728: Flags [S.], cksum 0x9ee6 (incorrect -> 0x9ede), seq xxx:xxx, ack xxx, win 8760, length 8
02:31:11.700387 IP (tos 0x48, ttl 106, id 18219, offset 0, flags [DF], proto TCP (6), length 52)

    Now begins 445 probes...

    36.xxx.xxx.xxx.63133 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x5f48 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
02:31:21.049800 IP (tos 0x0, ttl 106, id 3996, offset 0, flags [DF], proto TCP (6), length 52)
    123.xxx.xxx.xxx.7264 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x745e (correct), seq seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:32.355143 IP (tos 0x48, ttl 110, id 2945, offset 0, flags [DF], proto TCP (6), length 52)
    45.xxx.xxx.xxx.61134 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0xda92 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:33.441688 IP (tos 0x28, ttl 109, id 8648, offset 0, flags [DF], proto TCP (6), length 52)

Allo stesso tempo, ci sono ~ 3 pacchetti al secondo a 4 porte nell'intervallo 5000-5100.

02:51:50.124083 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:50.278002 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371
02:51:51.202326 IP 221.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.078075 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 360
02:51:54.123284 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.314175 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371

Inoltre, ogni 1 ora circa, c'è un rapido SYN probe da 300 pacchetti al secondo da un singolo IP a più host nella mia sottorete, incluso il mio provider di server DNS.

01:40:42.257034 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.25792: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.257243 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.62826: Flags [S.], seq xxx:xxx, ack xxx, ack xxx, win 8760, length 8
01:40:42.258176 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.2613: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258203 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.6335: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258890 IP 43.xxx.xxx.xxx.9594 > DNS.provider: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258921 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.32031: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8

TUTTE le mie porte sono filtrate (DROP), incluso il blocco UDP, ICMP in modo completo. Questa è una macchina isolata che alla fine aprirà la porta 80.

Quindi la domanda che mi interessa è questa inondazione UDP di 280 Kbps . Che scopo serve? È un segnale di avvertimento DDoS?

Combinati tutti gli IP, ci sono stati oltre +5000 IP univoci (sono stato anche tentato di usare la forza bruta SSH quando apro un registro di 22, 5 GB)

    
posta Jonas 31.08.2017 - 06:42
fonte

2 risposte

0

I miei passaggi sarebbero fallianti:

  1. Come ha detto Michael - segnala !

  2. Esamina l'intersezione degli indirizzi di origine in diversi tipi di attacchi: gli indirizzi dalla porta UDP 7072 si intersecano con gli indirizzi che eseguono la scansione delle porte SIP? Se hai IP rivolto a Internet, è abbastanza comune catturare diversi tentativi di scansione delle porte. In pratica, dividi il traffico a più gruppi in base a chi è l'autore dell'attacco e concentrati sull'attaccante che ha appositamente come target il tuo IP, che sarebbe molto pericoloso.

  3. Per ulteriori informazioni sull'intensione degli hacker, aprirei le porte interessate per alcune connessioni e esegui indagini sul payload in entrata . Ma non lasciare che l'attaccante si connetta ai servizi reali! Puoi usare netcat semplice: %codice%.

risposta data 28.09.2018 - 10:18
fonte
-1

Potrebbe trattarsi di una sorta di DoS da roditore / toporagno (dal momento che hai detto che l'indirizzo di origine dei pacchetti è sempre lo stesso), anche se normalmente si rivolgono ai servizi TCP. In sintesi, questi attacchi cercano di consumare le risorse di una macchina non inviando enormi quantità di dati come DoS / DDoS regolari, ma giocando con timeout, finestra di ritrasmissione, ecc. Al fine di ottenere gli stessi risultati. Consulta questo documento per ulteriori informazioni su questo tipo di attacchi: link

Controllando la porta di destinazione UDP e il payload (contenuto binario) che mostri nella traccia un'altra possibilità è che potrebbe essere diretta verso qualche server di gioco o un servizio di streaming ( link ) che potrebbe essere vulnerabile a DrDoS (comune per i servizi UDP). Questo potrebbe essere un buon punto di partenza per le tue indagini.

Spero che ti aiuti.

    
risposta data 01.09.2017 - 15:57
fonte

Leggi altre domande sui tag