ros 的 firewall 的 connetcions 里发现大量 ntp 包,怀疑内网或者 ros 问题,dst 地址都是不存在的 10 段内网 ip,怎么抓出元凶呢,ros 抓包发现都是伪造的源地址,不能每个机器都去抓一边包吧。。。
1
dextercai 2018-06-22 14:50:52 +08:00 via Android
有一点像 DRDos。
|
2
a7a2 2018-06-22 15:13:44 +08:00
楼主意思是有人在内网发动 ntp 反射放大攻击?
提供的信息太模糊,看看 ntp 的 udp 包大量流入还是大量流出到外网 |
3
XiaoXiaoNiWa 2018-06-22 15:49:17 +08:00 via Android
二分法试试?
|
4
mrzx 2018-06-22 17:02:28 +08:00
即使 IP 地址可以用随机,但是 mac 只能在同一个二层网传播。
抓一下包。先从 mac 地址来判断是外网发起攻击,还是从内网发起攻击。 至少看一下目标 mac(源 MAC 我也可以伪造)就知道是内网,还是外网了。 建议关闭 ntp 服务,或者用 ros 自带的防火墙屏蔽之。 |
5
mrzx 2018-06-22 17:10:54 +08:00
如果你既不想封 NTP,也像对内网开放 NTP。
采用 qos 功能来减缓攻击带来的损失 先 manage 标记 udp 123 端口的数据包,然后分类,在设置个小队列 sfq(随机公平队列),设置在内网 in 方向过来的包策略上。 当别人从内网攻击你路由器 ntp 发起请求 DOS 攻击时,因为 QOS 的作用,可以抑制带宽到一定的量,且采用随机公平队列。正常用户的 NTP 请求也有可能能正常发到路由器上,由路由器受理,但几率不受控制。 不过这事治标不治本的方法, 最好在对方发起攻击的时候观察交换机端口的流量,然后抓包,或者采用 sflow,netflow 技术等收集 4 层信息。这样可以准确抓出交换机哪个物理接口,发送了大量 UDP 123 端口的报文。 哦,对了, 非网管的低端交换机别指望支持 sflow,netflow 之类的技术 |
6
trepwq OP @mrzx mac 地址是伪造的 eeffffffffff,阿里云内网 vpc 没有交换机。。。完全关闭 ntp 是不行的,看来只能 ros 控制控制了。另外有没有可能 ros 被攻破了,实际上就是 ros 自己发的呢?怎么看 ros 的进程呢
|
7
mrzx 2018-06-22 17:31:20 +08:00 1
用的是二层广播地址咯,那难怪呢。
ros 正版的话,正常情况,这个软路由有自己的一套 shell, 这套 shell 是不会自动调用 /bin /sbin 目录下的任何二进制小工具,权限也卡的非常死,你拿不到 linux 的常用的 bash shell 来进行操作的。 1.ros 破解有 2 种方式,一种安装好了,类似用 pe 的方式启动,引导,加载原装有 ros 的硬盘,在原有系统上修改。你除非对 ros 的系统很熟悉,不然不好改,可以尝试修改用户默认登陆 shell 的类型。至少 5.x 以前的版本,硬盘都没有采用加密,可以随时 mount 挂在的,数据也是明文的。 2.如果你装的是盗版的 ros,基本上都留有后门的。你用 nmap 扫一下,可能有开放非 22 的 ssh 端口,而且 root 密码为空.进去直接调用的就是 bash shell. 网上破解的有很多个 ROS 版本,但广为流程,可以为 5.x 破解的俄罗斯 ISO 光盘破解那个默认就存在这种类似漏洞,还有很多所谓别人破解好的 img 版本,里面也存在后门。 计算用破解的 ROS,我劝你用俄罗斯那个破解方式,至少后门已经公布好久了。别人破解好的改版 ros,不知道还弄出了什么幺蛾子。 我当时也是公司内网做安全扫描的时候无意间发现的。 破解的 ros 被黑,没遇到过,这个后门可能是我当时发现的比较及时,没造成什么影响。 |
8
mrzx 2018-06-22 17:34:06 +08:00
抱歉,手打有误,有错别字。这该死的拼音输入法。
|
9
mrzx 2018-06-22 17:38:46 +08:00
@trepwq 还有,有点不对啊,全二层广播应该 F 打头的啊。eeffffffffff 怎么前面会有 2 个 ee?这个前面 24bit 通常作为厂家标识符
|
11
Danswerme 2018-06-22 18:45:15 +08:00 via Android
看来用 ros 的 v 友不少呀。
|