Расшифровка лога D-Link
Ping of death — тип сетевой атаки, при которой компьютер-жертва получает особым образом подделанный эхо-запрос (ping), после которого он перестает отвечать на запросы вообще. В данный момент этот тип атак практически не наблюдается, т.к. уязвимость была исправлена в конце 90х годов.
tcp_synfin. Одна из разновидностей стелс сканирования. В данном пакете одновременно установлены флаги SYN (используется для установления соединения) и FIN (Final — посылается при завершении соединения ). Расчет делается на то, что на такой пакет разные TCP/IP стеки реагигуют по разному. На основании этого делается вывод о том какая ОС на хосте.
Blat attack. Разновидность DOS атаки в котором порт источника равен порту назначения.
Land attack. Метод атаки заключается в отправке поддельного пакета TCP SYN (инициация соединения) с одинаковыми IP-адресами и номерами портов источника и назначения. Может приводить к зависанию сервера. tcp_xmasscan. Дос атака в которой порядковый номер пакета равен нулю, а FIN, URG и PSH биты установлены. tcp_null_scan. Тип атаки в которой порядковый номер пакета равен нулю и все управляющие биты установлены в ноль. Используется для получения информации об открытых портов портах клиента, версии ОС и тп.
tcp_tiny_frag_attack (атака малыми фрагментами). Детектируется в случае, если размер любого из фрагментов за исключением последнего меньше 400 байт, это означает, что фрагмент, по-видимому, преднамеренно сформирован. Малые фрагменты могут использоваться в атаках типа «отказ в обслуживании» или при попытках обойти защитные механизмы.
tcp_syn_srcport_less_1024. Тип атаки в котором при установлении соединения указывается порт источника меньше 1024. Обычно данные порты зарезервированны службы и не выдаются при создании TCP подлючения.
Немного о типах DDoS-атак и методах защиты
Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.
«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.
При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.
/ Flickr / Kenny Louie / CC
DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.
Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.
TCP SYN Flood
Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.
Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.
Fragmented UDP Flood
Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.
Атака с использованием ботнета
Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.
В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.
При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.
Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).
В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.
Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.
Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.
Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.
Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.
Smurf-атаки
Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.
Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.
DNS-атака с усилением
Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.
Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.
TCP Reset
TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.
Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.
Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.
Дополнительное чтение по теме DPI (Deep packet inspection):
Blat attack что это
Прошивки:
DES-3200-10-C1
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.48.B007
Hardware Version : C1
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disab le
config dos_prevention dos_type ping_death_attack action drop state enable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log enable
——————————
DGS-3000-10L
Boot PROM Version : Build 4.00.001
Firmware Version : Build 4.02.B009
Hardware Version : B1
# DoS
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable
config dos_prevention dos_type ping_death_attack action drop state disable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log enable
| Сотрудник D-LINK |
 |
Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 141
Откуда: UA
| Current Time Source : Primary SNTP Server |
| Сотрудник D-LINK |
|
Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 141
Откуда: UA
Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 141
Откуда: UA
| Коммутатор Проблема та же с dos_prevention DGS-3000-28L:admin#show dos_prevention Trap:Disabled Log:Enabled Function Version : 1.01 1. в данном случае сам же свитч не может синхронизировать время с NTP серверои по 123 порту 2. В Web-интерфесе всего одна запить Blat Attack, а в консоли их две Blat Attack for TCP и Blat Attack for UDP |
Зарегистрирован: Ср мар 29, 2017 16:43
Сообщений: 186
Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 141
Откуда: UA
| Интересно. Значит, последний баг оказывается возвращается к моему самому первому сообщению которое я писал год назад: 2020-03-28T00:11:15+02:00 192.168.81.173 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 9) как только отключил config dos_prevention dos_type blat_attack udp state disable |
| Сотрудник D-LINK |
|
Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11209
Откуда: D-Link, Moscow
| В оригинальной схеме нет DGS-3000-28L. Пожалуйста, пришлите на switch dlink.ru конфигурационные файлы и выводы sh sw от DGS-3000-28L и DGS-3000-10L. Мы проверим. |
Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 141
Откуда: UA
| Так долго dlink баги еще не правил. (извините за сарказм, наболело) Есть коммутатор 192.168.81.202 : DGS-3000-20L (и другие из это серии) включена функция dos_prevention DGS-3000-20L:admin#show dos_prevention Trap:Disabled Log:Enabled Function Version : 1.01 и информация об этой блокировке попадает в логи свитча на почту switch dlink.ru отправляю конфиг свитча как и просили. Часовой пояс: UTC + 3 часа Кто сейчас на форумеСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14 Blat attack что это
Часовой пояс: UTC + 3 часа Blat Attack приходит на аплинк нескольких коммутаторов. |
Зарегистрирован: Вт май 20, 2008 17:01
Сообщений: 41
| Как бороться с сабжем? собственно отдельный управляемый вилан есть, по идее в нем ничего подобного быть не должно. инета в этом вилане естественно нет. однако появляются сообщения вроде: 26 2010-02-02, 13:37:02 Blat Attack is detected from (IP: 77.87.203.83 Port: 26) вопрос животрепещет в наших сердцах! |
Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
| Сотрудник D-LINK |
|
Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Зарегистрирован: Вт май 20, 2008 17:01
Сообщений: 41
Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
| Часовой пояс: UTC + 3 часа Кто сейчас на форумеСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14 Теперь я тебя вижу: выявление бесфайловых вредоносных программЗлоумышленники твердо намерены применять для обхода средств защиты все более сложные методы. Использование бесфайловых вредоносных программ повышает незаметность и эффективность атаки. В прошлом году бесфайловые методы применялись в ходе двух крупномасштабных кампаний по распространению программ-вымогателей (Petya и WannaCry).
В основе бесфайловых атак лежит простая идея: если на устройстве уже имеются средства, способные выполнить задачи злоумышленника (например, PowerShell.exe или wmic.exe), то зачем размещать на нем специальные программы, которые могут быть распознаны как вредоносные? Если злоумышленник сможет перехватить управление процессом, запустить в пространстве памяти такого процесса свой код и использовать его для вызова средств, которые уже имеются на устройстве, обнаружить атаку будет сложнее. Успешное применение данного подхода с использованием локальных ресурсов представляет собой сложную задачу. Помимо прочего, злоумышленникам необходимо решить проблему сохраняемости. При выключении питания информация в памяти не сохраняется, и, если файлы не записаны на диске, перед злоумышленниками встает вопрос: как обеспечить автозапуск своего кода и сохранить контроль над скомпрометированной системой после перезагрузки? Misfox: бесфайловая угроза для сетей
Группа Microsoft по реагированию на инциденты исследовала компьютеры в сети, обнаружила целевые импланты и проанализировала степень компрометации. Клиент использовал известный сторонний антивирусный продукт, который был установлен на большинстве компьютеров. Несмотря на обновление с последними версиями сигнатур, антивирус не обнаружил ни один из целевых имплантов. Также исследователи Microsoft узнали, что злоумышленники дважды пытались зашифровать файлы при помощи программы-вымогателя. К счастью, эти попытки не удались. Как выяснилось, угроза уничтожить сеть представляла собой «план Б» по извлечению прибыли из атаки на случай, если «план А» не сработает. Более того, исследователи также обнаружили, что злоумышленники скрытно присутствовали в сети уже минимум семь месяцев, используя для этого два разных канала.
Вторым инструментом оказалась бесфайловая вредоносная программа под названием Misfox. При выполнении в памяти Misfox делала следующее: Бесфайловые методыMisfox представляет собой пример того, как в последовательность этапов кибератаки могут быть встроены бесфайловые компоненты. Злоумышленники используют разные бесфайловые методы, которые затрудняют обнаружение вредоносных имплантов. Среди них: Способы защиты от бесфайловых вредоносных программ в Microsoft 365
Windows Defender AntivirusWindows Defender Antivirus (WDAV) блокирует подавляющее большинство вредоносных программ при помощи общих, эвристических и поведенческих методов обнаружения, используя как локальные, так и облачные модели машинного обучения. Windows Defender Antivirus обеспечивает защиту от вредоносного ПО за счет следующих возможностей: Windows Defender Exploit GuardWindows Defender Exploit Guard (WDEG) — это новый набор функций для защиты от вторжения на уровне хостов, который помогает уменьшить уязвимую зону, блокируя широкий спектр векторов атаки на устройство. Для остановки бесфайловых атак используются следующие способы:
Windows Defender Application ControlWindows Defender Advanced Threat ProtectionСлужба Windows Defender Advanced Threat Protection (WDATP) — это интегрированная платформа средств защиты рабочих мест (Windows Endpoint Protection, EPP) и средств обнаружения атак на конечные точки и реагирования на эти атаки (Endpoint Detection and Response, EDR). Если безопасность системы уже нарушена, ATP оповещает пользователей компании об изощренных атаках повышенной сложности на устройства и корпоративные сети, которые не удалось предотвратить при помощи других профилактических средств защиты. Для обнаружения таких атак служба использует подробные данные из глобальных систем безопасности, расширенный анализ поведения и машинное обучение. Она позволяет обнаружить бесфайловые вредоносные программы несколькими способами: Браузер Microsoft EdgeСогласно результатам независимого эксперта в сфере безопасности NSS Labs, браузер Microsoft Edge блокирует больше фишинговых сайтов и вредоносного ПО, использующего методы социальной инженерии, чем другие браузеры. Microsoft Edge противодействует бесфайловым атакам благодаря функциям защиты от произвольного кода, которые блокируют выполнение произвольного кода, включая вредоносные библиотеки DLL. Это помогает избежать атак с рефлексивным внедрением библиотек DLL. Кроме того, Microsoft Edge предоставляет широкий набор средств защиты от бесфайловых и иных угроз благодаря интеграции Windows Defender Application Guard и технологии Windows Defender SmartScreen. Заид Арафех (Zaid Arafeh)  Привет, друзья! Сегодня мы с вами поговорим о замечательной  Привет, дорогие дети! Сегодня я хочу рассказать вам  Дорогие дети, сегодня мы поговорим о загадочной поговорке «  Привет, дорогие дети! Сегодня мы поговорим о забавной |
