[grnog] Abnormal Upstream traffic

Thu Mar 15 18:19:20 CET 2018

Γεια,

Μιχάλη όντως τα 3 gbps κίνηση που βλέπεις είναι udp/1900;

Αν είναι, sourced από μέσα, τότε είτε είναι πολύ πιθανό κάποιοι
πελάτες να έχουν vulnerable εξοπλισμό και να συμμετέχουν σε κάποιο
reflection attack - και μάλλον είναι αρκετοί για να βγάλουν 3gbps..
Σε αυτή την περιπτωση, να συμμετέχουν πελάτες σε attack δηλαδή,
(μάλλον) θα δεις ανάλογο traffic προς άλλες IP αρκετά σύντομα.

Στην ανάποδη κατεύθυνση (internet -> customers), το πιο πιθανό είναι
κάποιος κακομοίρης να τρέχει game server και να του ρίχνουν attack.

Από την αρχική περιγραφή πάντως, φαίνεται για το πρώτο ενδεχόμενο
(πολλά flows σε 3-4 destinations), να έχεις δηλαδή vulnerable
εξοπλισμό στο δίκτυο που απαντάει σε ssdp, έχει δηλαδή ανοιχτό upnp
στο wan port.
Συνήθως σε τέτοια attacks, όσα περισσότερα μπορείς να προσδιορίσεις
από τα (src port, src ip, dst port, dst ip, protocol), τόσο καλύτερη
εικόνα έχεις στο τι ήταν αυτό που πέρασε και τι κατεύθυνση είχε.

Για το port ban, συμφωνώ είναι λίγο περίεργο όταν είσαι ISP, αλλά ένα
rate limit με βάση προηγούμενα επίπεδα (αν φυσικά το υποστηρίζει η
πλατφόρμα) σε well known udp bad ports (πχ ssdp, ntp, memcached), ίσως
κάνει διαφορά.

Κώστας

2018-03-15 5:16 GMT-07:00  <michalis.bersimis at hq.cyta.gr>:
> For the record, αντιμετωπίστηκε το παρακάτω κόβοντας την επικοινωνία προς
> και από τους προορισμούς.
>
>
>
> Συμφωνώ το 1900 port δεν πρέπει να είναι ανοιχτό προς το Internet, αλλά
> μπορεί κάποιος να θέλει να την χρησιμοποιήσει… οπότε θέλει προσοχή.
>
>
>
>
>
> Μιχάλης Μπερσίμης
>
>
>
> From: Αλέξανδρος Σταμάτης [mailto:a.stamatis at hostmein.net]
> Sent: Thursday, March 15, 2018 2:06 PM
> To: grnog at lists.grnog.gr
> Cc: Spyros Kakaroukas; Μπερσίμης Μιχάλης (900356)
> Subject: Re: [grnog] Abnormal Upstream traffic
>
>
>
> Καλησπέρα,
>
> Η εικασία του Σπύρου είναι μάλλον σωστή.
>
> Απ'ότι όλα δείχνουν δυστυχώς υπάρχουν ακόμη χιλιάδες συσκευές που είναι
> vulnerable σε ένα παλιό (τέλος του 2012) κενό ασφαλείας στο libupnp.
> https://www.kb.cert.org/vuls/id/922681
>
> Και η cloudflare πριν κάποιους μήνες ανέβασε ένα σχετικό άρθρο για ssdp
> amplificiation που δέχθηκαν στα 100Gbps. Άρα το ως άνω πρόβλημα σίγουρα
> παραμένει σε πολύ μεγάλο βαθμό ανάμεσα σε παλαιότερους και unpatched soho
> routers πχ dlink. Είναι ενδιαφέρον κατά την γνώμη μου το παρακάτω.
> https://blog.cloudflare.com/ssdp-100gbps/
>
> Στο εξωτερικό υπάρχουν ISP που κόβουν για αυτό το λόγο το port 1900.
> Ίσως και να είναι μια καλή ιδέα για όλους. Άλλωστε δεν νομίζω ότι υπάρχει
> κάποιος λόγος το port 1900 να είναι ανοιχτό προς το internet.
> https://www.xfinity.com/support/articles/list-of-blocked-ports
>
>
>
> ---
> Με εκτίμηση,
> Kind Regards,
>
> Alexander Stamatis,
> Chief Technology Officer
>
> HostMeIn ΙΚΕ
> Internet Services
> 32 Kifisias ave, 151 25, Marousi, Athens (Atrina Tower)
> Tel: +30 212 213 5061
>
> Like us on Facebook : https://www.facebook.com/HostMeIn
> Follow us on Twitter : https://twitter.com/HostMeIn
>
>
>
> Στις 15-03-2018 12:40, Spyros Kakaroukas έγραψε:
>
> Καλημέρα Μιχάλη,
>
>
>
> Δεν έχει τύχει να δω ιδιαίτερη κίνηση από αυτό το AS πριν από χτες. Χτες και
> σήμερα παρατηρώ τις IP που αναφέρεις να στέλνουν udp πακέτα προς
> συγκεκριμένους ( λίγους ) προορισμούς στο δίκτυο μου στο port 1900 ( ssdp )
> χωρίς να λαμβάνουν κάποια απάντηση, πέρα από icmp 3/1 . Η συνολική κίνηση
> είναι της τάξης των kbps. Κοιτώντας καθαρά τη δική μου κίνηση, δεδομένου ότι
> επιμένουν σε λίγες συγκεκριμένες destination IPs με μικρό σχετικά ρυθμό
> πακέτων, αν θεωρήσουμε ότι είναι όντως κακόβουλη και αν έπρεπε να κάνω
> κάποια υπόθεση, θα μου έμοιαζε με απόπειρα χρήσης ssdp για
> reflection/amplification attack. Δε θεωρώ όμως ότι έχω αρκετά στοιχεία για
> να στηρίξω την παραπάνω υπόθεση με ιδιαίτερη σιγουριά.
>
>
>
>
>
> My thoughts and words are my own.
>
>
>
> Spyros
>
>
>
> From: <grnog-request at lists.grnog.gr> on behalf of
> "michalis.bersimis at hq.cyta.gr" <michalis.bersimis at hq.cyta.gr>
> Reply-To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
> Date: Thursday, 15 March 2018 at 12:11
> To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
> Subject: [grnog] Abnormal Upstream traffic
>
>
>
> Καλημέρα,
>
>
>
> Παρατήρησα από χτες, ένα περίεργο pattern κίνησης ( Upload traffic σταθερό
> γύρω στα 3G) με πολλαπλά flows από διάφορα sources του δίκτυου μας, προς
> συγκεκριμένα dst IPv4 ( 200.16.68.253 ή 200.16.68.84 ) που ανήκει στο
> AS52320.
>
>
>
> Έχει κάποιος προσέξει κάτι παρόμοιο ?
>
>
>
> Φιλικά,
>
>
>
> Μιχάλης Μπερσίμης

-- 
Costas Drogos