V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
trepwq
V2EX  ›  信息安全

内网上百台 ecs,路由器是 ros,最近发现路由器里有大量 ntp 连接,内网扫描还是攻击,怎么找出元凶

  •  
  •   trepwq · 2018-06-22 12:38:43 +08:00 · 4750 次点击
    这是一个创建于 2380 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ros 的 firewall 的 connetcions 里发现大量 ntp 包,怀疑内网或者 ros 问题,dst 地址都是不存在的 10 段内网 ip,怎么抓出元凶呢,ros 抓包发现都是伪造的源地址,不能每个机器都去抓一边包吧。。。

    13 条回复    2018-06-26 14:36:45 +08:00
    dextercai
        1
    dextercai  
       2018-06-22 14:50:52 +08:00 via Android
    有一点像 DRDos。
    a7a2
        2
    a7a2  
       2018-06-22 15:13:44 +08:00
    楼主意思是有人在内网发动 ntp 反射放大攻击?

    提供的信息太模糊,看看 ntp 的 udp 包大量流入还是大量流出到外网
    XiaoXiaoNiWa
        3
    XiaoXiaoNiWa  
       2018-06-22 15:49:17 +08:00 via Android
    二分法试试?
    mrzx
        4
    mrzx  
       2018-06-22 17:02:28 +08:00
    即使 IP 地址可以用随机,但是 mac 只能在同一个二层网传播。

    抓一下包。先从 mac 地址来判断是外网发起攻击,还是从内网发起攻击。

    至少看一下目标 mac(源 MAC 我也可以伪造)就知道是内网,还是外网了。

    建议关闭 ntp 服务,或者用 ros 自带的防火墙屏蔽之。
    mrzx
        5
    mrzx  
       2018-06-22 17:10:54 +08:00
    如果你既不想封 NTP,也像对内网开放 NTP。

    采用 qos 功能来减缓攻击带来的损失

    先 manage 标记 udp 123 端口的数据包,然后分类,在设置个小队列 sfq(随机公平队列),设置在内网 in 方向过来的包策略上。

    当别人从内网攻击你路由器 ntp 发起请求 DOS 攻击时,因为 QOS 的作用,可以抑制带宽到一定的量,且采用随机公平队列。正常用户的 NTP 请求也有可能能正常发到路由器上,由路由器受理,但几率不受控制。

    不过这事治标不治本的方法,
    最好在对方发起攻击的时候观察交换机端口的流量,然后抓包,或者采用 sflow,netflow 技术等收集 4 层信息。这样可以准确抓出交换机哪个物理接口,发送了大量 UDP 123 端口的报文。

    哦,对了,
    非网管的低端交换机别指望支持 sflow,netflow 之类的技术
    trepwq
        6
    trepwq  
    OP
       2018-06-22 17:18:11 +08:00
    @mrzx mac 地址是伪造的 eeffffffffff,阿里云内网 vpc 没有交换机。。。完全关闭 ntp 是不行的,看来只能 ros 控制控制了。另外有没有可能 ros 被攻破了,实际上就是 ros 自己发的呢?怎么看 ros 的进程呢
    mrzx
        7
    mrzx  
       2018-06-22 17:31:20 +08:00   ❤️ 1
    用的是二层广播地址咯,那难怪呢。

    ros 正版的话,正常情况,这个软路由有自己的一套 shell,
    这套 shell 是不会自动调用 /bin /sbin 目录下的任何二进制小工具,权限也卡的非常死,你拿不到 linux 的常用的 bash shell 来进行操作的。

    1.ros 破解有 2 种方式,一种安装好了,类似用 pe 的方式启动,引导,加载原装有 ros 的硬盘,在原有系统上修改。你除非对 ros 的系统很熟悉,不然不好改,可以尝试修改用户默认登陆 shell 的类型。至少 5.x 以前的版本,硬盘都没有采用加密,可以随时 mount 挂在的,数据也是明文的。

    2.如果你装的是盗版的 ros,基本上都留有后门的。你用 nmap 扫一下,可能有开放非 22 的 ssh 端口,而且 root 密码为空.进去直接调用的就是 bash shell.
    网上破解的有很多个 ROS 版本,但广为流程,可以为 5.x 破解的俄罗斯 ISO 光盘破解那个默认就存在这种类似漏洞,还有很多所谓别人破解好的 img 版本,里面也存在后门。
    计算用破解的 ROS,我劝你用俄罗斯那个破解方式,至少后门已经公布好久了。别人破解好的改版 ros,不知道还弄出了什么幺蛾子。
    我当时也是公司内网做安全扫描的时候无意间发现的。

    破解的 ros 被黑,没遇到过,这个后门可能是我当时发现的比较及时,没造成什么影响。
    mrzx
        8
    mrzx  
       2018-06-22 17:34:06 +08:00
    抱歉,手打有误,有错别字。这该死的拼音输入法。
    mrzx
        9
    mrzx  
       2018-06-22 17:38:46 +08:00
    @trepwq 还有,有点不对啊,全二层广播应该 F 打头的啊。eeffffffffff 怎么前面会有 2 个 ee?这个前面 24bit 通常作为厂家标识符
    trepwq
        10
    trepwq  
    OP
       2018-06-22 18:43:35 +08:00
    @mrzx 最新正版 chr 版的 ros。确实是 ee 开头的 mac,另一个 mac 地址是路由器网卡 mac
    Danswerme
        11
    Danswerme  
       2018-06-22 18:45:15 +08:00 via Android
    看来用 ros 的 v 友不少呀。
    g079708
        12
    g079708  
       2018-06-22 22:08:21 +08:00 via iPhone
    @mrzx 多谢提醒。前天在网上安装的破解版确实留有后门
    mrzx
        13
    mrzx  
       2018-06-26 14:36:45 +08:00
    @g079708 正常,小心一点,黑了你的路由器不要紧,怕就是拿它当跳板访问你内部的资源就更方便了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   942 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:03 · PVG 05:03 · LAX 13:03 · JFK 16:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.