内网上百台 ecs,路由器是 ros,最近发现路由器里有大量 ntp 连接,内网扫描还是攻击,怎么找出元凶

2018-06-22 12:38:43 +08:00
 trepwq

ros 的 firewall 的 connetcions 里发现大量 ntp 包,怀疑内网或者 ros 问题,dst 地址都是不存在的 10 段内网 ip,怎么抓出元凶呢,ros 抓包发现都是伪造的源地址,不能每个机器都去抓一边包吧。。。

4750 次点击
所在节点    信息安全
13 条回复
dextercai
2018-06-22 14:50:52 +08:00
有一点像 DRDos。
a7a2
2018-06-22 15:13:44 +08:00
楼主意思是有人在内网发动 ntp 反射放大攻击?

提供的信息太模糊,看看 ntp 的 udp 包大量流入还是大量流出到外网
XiaoXiaoNiWa
2018-06-22 15:49:17 +08:00
二分法试试?
mrzx
2018-06-22 17:02:28 +08:00
即使 IP 地址可以用随机,但是 mac 只能在同一个二层网传播。

抓一下包。先从 mac 地址来判断是外网发起攻击,还是从内网发起攻击。

至少看一下目标 mac(源 MAC 我也可以伪造)就知道是内网,还是外网了。

建议关闭 ntp 服务,或者用 ros 自带的防火墙屏蔽之。
mrzx
2018-06-22 17:10:54 +08:00
如果你既不想封 NTP,也像对内网开放 NTP。

采用 qos 功能来减缓攻击带来的损失

先 manage 标记 udp 123 端口的数据包,然后分类,在设置个小队列 sfq(随机公平队列),设置在内网 in 方向过来的包策略上。

当别人从内网攻击你路由器 ntp 发起请求 DOS 攻击时,因为 QOS 的作用,可以抑制带宽到一定的量,且采用随机公平队列。正常用户的 NTP 请求也有可能能正常发到路由器上,由路由器受理,但几率不受控制。

不过这事治标不治本的方法,
最好在对方发起攻击的时候观察交换机端口的流量,然后抓包,或者采用 sflow,netflow 技术等收集 4 层信息。这样可以准确抓出交换机哪个物理接口,发送了大量 UDP 123 端口的报文。

哦,对了,
非网管的低端交换机别指望支持 sflow,netflow 之类的技术
trepwq
2018-06-22 17:18:11 +08:00
@mrzx mac 地址是伪造的 eeffffffffff,阿里云内网 vpc 没有交换机。。。完全关闭 ntp 是不行的,看来只能 ros 控制控制了。另外有没有可能 ros 被攻破了,实际上就是 ros 自己发的呢?怎么看 ros 的进程呢
mrzx
2018-06-22 17:31:20 +08:00
用的是二层广播地址咯,那难怪呢。

ros 正版的话,正常情况,这个软路由有自己的一套 shell,
这套 shell 是不会自动调用 /bin /sbin 目录下的任何二进制小工具,权限也卡的非常死,你拿不到 linux 的常用的 bash shell 来进行操作的。

1.ros 破解有 2 种方式,一种安装好了,类似用 pe 的方式启动,引导,加载原装有 ros 的硬盘,在原有系统上修改。你除非对 ros 的系统很熟悉,不然不好改,可以尝试修改用户默认登陆 shell 的类型。至少 5.x 以前的版本,硬盘都没有采用加密,可以随时 mount 挂在的,数据也是明文的。

2.如果你装的是盗版的 ros,基本上都留有后门的。你用 nmap 扫一下,可能有开放非 22 的 ssh 端口,而且 root 密码为空.进去直接调用的就是 bash shell.
网上破解的有很多个 ROS 版本,但广为流程,可以为 5.x 破解的俄罗斯 ISO 光盘破解那个默认就存在这种类似漏洞,还有很多所谓别人破解好的 img 版本,里面也存在后门。
计算用破解的 ROS,我劝你用俄罗斯那个破解方式,至少后门已经公布好久了。别人破解好的改版 ros,不知道还弄出了什么幺蛾子。
我当时也是公司内网做安全扫描的时候无意间发现的。

破解的 ros 被黑,没遇到过,这个后门可能是我当时发现的比较及时,没造成什么影响。
mrzx
2018-06-22 17:34:06 +08:00
抱歉,手打有误,有错别字。这该死的拼音输入法。
mrzx
2018-06-22 17:38:46 +08:00
@trepwq 还有,有点不对啊,全二层广播应该 F 打头的啊。eeffffffffff 怎么前面会有 2 个 ee?这个前面 24bit 通常作为厂家标识符
trepwq
2018-06-22 18:43:35 +08:00
@mrzx 最新正版 chr 版的 ros。确实是 ee 开头的 mac,另一个 mac 地址是路由器网卡 mac
Danswerme
2018-06-22 18:45:15 +08:00
看来用 ros 的 v 友不少呀。
g079708
2018-06-22 22:08:21 +08:00
@mrzx 多谢提醒。前天在网上安装的破解版确实留有后门
mrzx
2018-06-26 14:36:45 +08:00
@g079708 正常,小心一点,黑了你的路由器不要紧,怕就是拿它当跳板访问你内部的资源就更方便了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/465000

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX