ataque DDOS na minha rede?

2

Nas últimas 4 semanas, notei que as luzes do roteador e do modem piscam continuamente:

OroteadoréumLinksysWRT160NLsendoexecutadoDD-WRTv24-sp2(07/20/12)stdeomodeméumCiscoDPC3825strong>.Omodemécapazderoteartambém,maseudesligueiisso,entãoeleestánomodobridge.

Eutambémtenhodoisservidoreslinuxnaminharede.UmestáexecutandooAsteriskeooutroéumservidordaWeb.

Inicialmente,oservidorasteriscoestavanaDMZ,maseuotireiporcausadotráfegosuspeito.Emvezdisso,envieiummontedeportasparaoservidorAsteriskeaporta80paraoservidordaweb.Depoisdisso,comeceiaperceberummontedeerrosnoslogsdoservidorweb:

192.168.1.1--[05/Mar/2013:12:49:10-0500]"GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:12 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:23 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:33 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:38 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:40 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:42 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:44 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"

Nota: 192.168.1.1 é o IP do meu roteador neste caso ( não o real, mas você tem a idéia ).

Para verificar minha suspeita, desativei o encaminhamento de porta para o servidor da Web (porta 80) e os logs de erro foram interrompidos. Então, concluí que o tráfego vinha de fora da minha rede.

EDITAR: desconectei TUDO, exceto o modem e o roteador, e ainda assim as luzes ainda estão piscando. Eles só param se eu desconectar o cabo do roteador para o modem.

Tem alguma ideia de como posso determinar a origem do tráfego e, esperamos, pará-lo?

EDIT2: consegui habilitar logs de firewall e recebi milhares de pacotes descartados do mesmo IP:

2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180
    
por Alfero Chingono 05.03.2013 / 19:44

3 respostas

0

Com a ajuda de este artigo e este artigo , consegui habilitar logs de firewall e recebi milhares de pacotes descartados do mesmo IP:

2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180

EDITAR Após investigação adicional, parece que as mensagens de log wpad não estavam relacionadas às luzes piscantes. Liguei o encaminhamento de porta para o servidor da web novamente e as mensagens nunca reapareceram.

Eu então procurei o endereço IP que me deu o nome de a empresa de hospedagem como Fusepoint Managed Services . Em seguida, liguei para a empresa e relatei o problema. O representante de serviço foi muito prestativo e verificou que o IP estava de fato em sua rede. Ela prometeu me ligar de volta quando o problema for resolvido.

Espero que ajude alguém lá fora.

Obrigado @ voretaq7

    
por 05.03.2013 / 22:31
4

Tais tentativas são completamente normais, infelizmente, é apenas o ruído de fundo da rede e não há maneira real de pará-lo de uma maneira geral. Você apenas tem que se certificar de que as coisas que você faz disponível para o exterior está garantido. Ferramentas como o fail2ban podem ajudar a impedir tentativas amplas de atacar vários URLs diferentes (ou tentativas de conexão SSH etc.).

    
por 05.03.2013 / 19:51
2

Como outros já mencionaram, o roteador mais externo pode dizer a você quem o está acessando para acessar seu servidor da Web (não sei como esse dispositivo específico da Linksys funciona, mas ele não deve estar usando o endereço de origem das solicitações. é que ele não está fazendo NAT "padrão" - em qualquer caso, teria que manter uma tabela de mapeamento, especialmente se estiver reproduzindo proxy).

Como o problema desaparece quando você desativa o encaminhamento de porta, posso pensar em duas possibilidades:

  1. Alguém na sua rede por cabo está às cegas procurando por wpad.dat .
    Isso pode ser mal-intencionado ou eles podem ter apenas um dispositivo danificado no cérebro em seu ambiente. Seu roteador está apenas passando a solicitação (embora eu não veja por que isso mudaria o IP de origem).

  2. Seu roteador está tentando pegar wpad.dat do seu servidor web.
    Eu não consigo entender uma razão para isso - eu consideraria esse sério quebrantamento no firmware da Linksys. Para estar no lado seguro, verifique as configurações de proxy no roteador e verifique se estão desativadas / desativadas.

Não espere que isso cure a intermitência contínua de suas luzes de modem, embora --- que IS o ruído de fundo normal da Internet (sempre haverá tráfego saltando no seu modem, especialmente se você tem um servidor web em execução e as pessoas cutucam nele). Contanto que você resolva o mistério que está enfrentando atualmente (e nada mais incomum apareça nos registros), o ruído de fundo geralmente pode ser ignorado.

    
por 05.03.2013 / 20:27