UDP inundación 300 Kbps + sondas SYN / otros ataques. ¿Inundación o DDoS a baja velocidad?

3

Entonces, durante más de 2 semanas, estoy recibiendo lo que parece ser una combinación de ataques sin parar 24/7 .

Primero, este UDP se inunda a una velocidad extrañamente pequeña de 280 Kbps / 110 pps (360 bytes de longitud)

02:29:41.978484 IP (tos 0x0, ttl 48, id 56020, offset 0, flags [DF], proto UDP (17), length 360)
    120.xxx.xxx.xxx.15070 > 200.xxx.xxx.xxx.7072: [udp sum ok] UDP, length 332

        0x0030:  fefe 7f7f fefe 7f7f fffe ff7f fffe fe7f  ................
        0x0040:  7ffe fe7f 7ffe ff7f 7eff feff ff7e fefe  ........~....~..
        0x0050:  ff7e 7ffe ffff 7e7f feff 7f7e fffe 7f7f  .~....~....~....
        0x0060:  7efe ffff 7e7f fefe ff7e ffff ffff 7efe  ~...~....~....~.
        0x0070:  ff7f 7e7f feff 7f7e ffff 7f7e 7ffe 7f7e  ..~....~...~...~
        0x0080:  7eff ffff 7e7f feff 7e7e feff 7f7e ffff  ~...~...~~...~..
        0x0090:  ff7f ffff 7f7e fffe 7f7f 7efe ff7f 7ffe  .....~....~.....
        0x00a0:  fe7f 7f7f fefe 7f7e fffe ff7f 7efe feff  .......~....~...
        0x00b0:  7eff feff 7f7e fffe ff7f 7ffe feff 7efe  ~....~........~.
        0x00c0:  feff 7e7f feff ff7f fefe 7f7f 7ffe fe7f  ..~.............
        0x00d0:  7e7f feff 7f7f fefe 7f7e fefe ff7e feff  ~........~...~..
        0x00e0:  7f7e ffff ff7e fffe ff7f 7ffe ff7f 7eff  .~...~........~.
        0x00f0:  feff 7f7e fffe 7f7e 7efe ff7f 7e7f fefe  ...~...~~...~...
        0x0100:  7f7e 7fff ff7f 7fff fe7f 7e7f feff 7e7e  .~........~...~~
        0x0110:  fffe 7f7e 7ffe 7f7e 7eff fe7f 7e7e fefe  ...~...~~...~~..
        0x0120:  7f7e fffe ff7e 7efe ff7f 7eff ff7f 7efe  .~...~~...~...~.
        0x0130:  ff7f 7eff feff 7fff feff 7e7f feff 7e7e  ..~.......~...~~
        0x0140:  fefe ff7f 7ffe feff 7f7e fefe 7f7e fffe  .........~...~..
        0x0150:  fe7f 7ffe feff ff7f fefe ff7f fffe feff  ................
        0x0160:  7ffe fefe 7f7f fefe                      ........

Estos son paquetes sin parar con el mismo destino de puerto y la misma IP de origen.

Simultáneamente, me golpea una combinación de puertos TCP aleatorios + puerto 445, a una velocidad menor de 5 paquetes por segundo. Simplemente parecen ser escáneres SYN / 445 intento de detonación de puertos.

    43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.40476: Flags [S.], cksum 0xaee4 (incorrect -> 0xaedc), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:49.862649 IP (tos 0x0, ttl 239, id 19108, offset 0, flags [DF], proto TCP (6), length 48)
    43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.9752: Flags [S.], cksum 0x4dcf (incorrect -> 0x4dc7), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:50.644298 IP (tos 0x0, ttl 239, id 61707, offset 0, flags [DF], proto TCP (6), length 48)
    43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.22728: Flags [S.], cksum 0x9ee6 (incorrect -> 0x9ede), seq xxx:xxx, ack xxx, win 8760, length 8
02:31:11.700387 IP (tos 0x48, ttl 106, id 18219, offset 0, flags [DF], proto TCP (6), length 52)

    Now begins 445 probes...

    36.xxx.xxx.xxx.63133 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x5f48 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
02:31:21.049800 IP (tos 0x0, ttl 106, id 3996, offset 0, flags [DF], proto TCP (6), length 52)
    123.xxx.xxx.xxx.7264 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x745e (correct), seq seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:32.355143 IP (tos 0x48, ttl 110, id 2945, offset 0, flags [DF], proto TCP (6), length 52)
    45.xxx.xxx.xxx.61134 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0xda92 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:33.441688 IP (tos 0x28, ttl 109, id 8648, offset 0, flags [DF], proto TCP (6), length 52)

Simultáneamente, también hay ~ 3 paquetes por segundo a 4 puertos en el rango 5000-5100.

02:51:50.124083 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:50.278002 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371
02:51:51.202326 IP 221.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.078075 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 360
02:51:54.123284 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.314175 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371

Además de eso, cada 1 hora aproximadamente, hay una rápida prueba SYN de 300 paquetes por segundo desde una única IP a varios hosts en mi subred, incluido mi proveedor de servidor DNS.

01:40:42.257034 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.25792: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.257243 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.62826: Flags [S.], seq xxx:xxx, ack xxx, ack xxx, win 8760, length 8
01:40:42.258176 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.2613: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258203 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.6335: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258890 IP 43.xxx.xxx.xxx.9594 > DNS.provider: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258921 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.32031: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8

TODOS mis puertos están filtrados (DROP), incluido el bloqueo UDP, ICMP completamente. Esta es una máquina aislada que finalmente abrirá el puerto 80.

Entonces, la pregunta en la que estoy interesado es esta inundación de UDP a 280 Kbps . ¿Para qué sirve? ¿Es una señal de advertencia DDoS?

Combinando todas las direcciones IP, ha habido más de +5000 direcciones IP únicas (también intenté SSH fuerza bruta cuando abro 22, registro de 5GB)

    
pregunta Jonas 31.08.2017 - 06:42
fuente

2 respuestas

0

Mis pasos estarían en barbecho:

  1. Como dijo Michael: informe !

  2. Investigue intersección de direcciones de origen en diferentes tipos de ataques: ¿las direcciones desde el puerto UDP 7072 se intersecan con las direcciones que exploran los puertos SIP? Internet, es bastante común capturar varios intentos de escaneo de puertos. Básicamente, divida el tráfico a varios grupos según su suposición sobre quién es el atacante y céntrese en el atacante que está apuntando especialmente a su IP, eso sería lo más peligroso.

  3. Para obtener más información sobre la intención de los atacantes, abriría puertos afectados para pocas conexiones e investigar la carga útil entrante . ¡Pero no dejes que el atacante se conecte a servicios reales! Puedes usar netcat simple: %código%.

respondido por el David Sýkora 28.09.2018 - 10:18
fuente
-1

Puede ser una especie de DoS de roedor / musaraña (ya que dijo que la dirección de origen de los paquetes es siempre la misma) ataque, aunque estos normalmente se dirigen a los servicios TCP. En resumen, estos ataques intentan consumir los recursos de una máquina no enviando grandes cantidades de datos como DoS / DDoS regulares, sino jugando con el tiempo de espera, la ventana de retransmisión, etc. para lograr los mismos resultados. Consulte este documento para obtener más información sobre este tipo de ataques: enlace

Al verificar el puerto de destino UDP y la carga útil (contenido binario) que se muestra en el rastreo, otra posibilidad es que pueda dirigirse hacia algún servidor de juegos o un servicio de transmisión ( enlace ) que tal vez sea vulnerable a DrDoS (común para los servicios UDP). Este puede ser un buen punto de partida para su investigación.

Espero que ayude.

    
respondido por el b0rt 01.09.2017 - 15:57
fuente

Lea otras preguntas en las etiquetas