Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1 2 3 След.
RSS
server 2003 sp2 + isa 2004 sp3 падает., udp флуд или что то похожее.
 
#1
Это нравится:0Да/0Нет
23.09.2010 17:35:32
Очень странное явление началось - в логах пусто
Началось с того что старый сервер приказал долго жить и был перенесён на новую железку.
Был 2003+sp1 ISA 2004 sp3 перенёс на новую железку с теми же правилами
только винда sp2+все обновления на сегодняшний день.
Всё установлено было правила перенесены - всё забежало.
В итоге сейчас: с утра всё вроде бы ничего - после обеда начинается свистопляска. Днс сервер и клиент на шлюзе перестают работать. Пинги с на и через шлюз не проходят. Создаются и очень не охотно tcp сессии.

Можно зайти через rdp, сижу включил перформанс монитор и смотрю :(

Служба фаервола в это время работает - RDP сессии наружу не обрываются.
Веб, днс, пинги отваливаются.
В общем беда полная.

Вирусов на машине нету - проверил 3 антивирусами - только только установлена, недели не прошло.

Количество udp соединений под 900 - сейчас упало до 300 но ничего не изменилось.

Раньше - день два назад это было но было минут на 15-20 и потом проходило.
Сейчас не проходит вообще.
Перезагрузка служб, сервера результатат не даёт.
Вчера не выдержав - сделал репеар на установке ISA сервера - он что то перегистрил - перерестартил службы всё побежало. Расслабился - всё ночь работал интернет шлюз пинговался.
Сегодня в 15 часов дня опять тар тарары. Шлюз не пингуется днс висит.
 
 
 
#2
Это нравится:0Да/0Нет
23.09.2010 17:38:04
Включи сниффер на внутреннем интерфейсе. Пакетов много.
udp пакеты в основном запросы днс с 2 контроллеров домена. Сеть организована так что контроллеры пересылают запросы на шлюз если сами не могу ответить.
Очень много обратных ptr запросов - что вообще не логично в локалной сети.
На все запросы отсылаются или icmp овтеты что порт не доступен или от днс сервера - типа сервер фальед.

Что делать то куда копать :( ?
 
 
 
#3
Это нравится:0Да/0Нет
23.09.2010 19:06:12
19.00 шлюз отпустило
 
 
 
#4
Это нравится:0Да/0Нет
24.09.2010 13:38:18
Идей нету??? как искать заразу в сети?
Как выявить этих злоумышленников.
На предмет чего трафик снифферить
Где снифферить? На контроллерах домена может? там пересылка днс запросов.
 
 
 
#5
Это нравится:0Да/0Нет
24.09.2010 14:37:36
Очень похоже на наличие в сети машин с неправильно установленной маской сети. Понимаете, что будет, если, скажем, вместо нормальной маски 255.255.255.0 установить, скажем, 255.0.0.0? Ещё вариант - не установленный шлюз.
 
 
 
#6
Это нравится:0Да/0Нет
24.09.2010 14:59:45
Хотя, пожалуй, был неправ. По описанию похоже больше на наличие затрояненных машин в сети, которые рассылают спам.

Цитата
Andrey пишет:
Как выявить этих злоумышленников.
На предмет чего трафик снифферить

На предмет источника множества DNS-запросов, естественно.

Цитата
Andrey пишет:
Где снифферить? На контроллерах домена может? там пересылка днс запросов.

Естественно.
 
 
 
#7
Это нравится:0Да/0Нет
24.09.2010 15:56:20
Разные совершенно разнообразные.
Заметил засаду.
С контроллера домена - идут днс запросы на странные адреса.
Сами запросы нормальные
Адреса в дестинейшен поле:
192.228.79.201
94.100.178.64
198.41.0.4

В перемешку с запросами на шлюз.
У всех чексумма - инкоррект, но это не показатель
Все они естественно валяться на шлюз - который генерит обратки.

з.ы. всё 15.30 днс отвалился на шлюзе

Например запросы 129 штук на разрешения имени: i.r0.ru
20 штук на разрешение: 10.230.203.192.in-addr.arpa

Сервер отпустило. 15.48 - странно

Главное что совершенно нету пользовательских запросов в сниффере не видно их вообще - такое ощющение что контроллер домена их сам генерит.



Кстати вопрос - по около теме:
Есть шлюз на нём вторичная зона днс лежит - на внутреннем интерфейсе стоит днс 127.0.0.1
на внешнем - провайдерские.
В настройках днс сервера - пересылать на провайдера.
есть 3 контроллера домена - на них в полях днс на интерфейсе стоят разносторонные другие или он же самый контроллеры.
В настройках днс сервера пересылка на шлюз.

Вопрос - как правильно?
 
 
 
#8
Это нравится:0Да/0Нет
24.09.2010 16:28:25
Цитата
SOLDIER пишет:
По описанию похоже больше на наличие затрояненных машин в сети, которые рассылают спам.
Согласен.
Цитата
Andrey пишет:
Главное что совершенно нету пользовательских запросов в сниффере не видно их вообще - такое ощющение что контроллер домена их сам генерит.
А там смотрите? Нужно поснифферить в том месте, где виден ВЕС трафик локальной сети.
 
 
 
#9
Это нравится:0Да/0Нет
24.09.2010 16:55:45
Таких мест не существует. Везде свичи.
На шлюзе могу слушать но что конкретно выявлять не понятно - ибо трафика не много много - 100+машин.
 
 
 
#10
Это нравится:0Да/0Нет
27.09.2010 09:49:37
Цитата
Andrey пишет:
На шлюзе могу слушать но что конкретно выявлять не понятно
Именно там и нужно. А вот что конкретно, Вам врят ли кто скажет. Каждая сеть живет своей жизнью. Все зависит от развернутых сервисов и от активности хостов.
Общие же правила анализа жизни сети таковы - отсекайте весь легитимный трафик. Оставшийся "левый" записывайте и разбирайте в оффлайне. Что бы не погибнуть под горой собранного, вычлиняйте наиболее активные хосты.
 
 
 
#11
Это нравится:0Да/0Нет
27.09.2010 10:29:47
Что по поводу настройки ДНс есть какие нибудь реккомендации?
 
 
 
#12
Это нравится:0Да/0Нет
27.09.2010 11:22:50
Цитата
Andrey пишет:
Главное что совершенно нету пользовательских запросов в сниффере не видно их вообще - такое ощющение что контроллер домена их сам генерит.
1. Где стоит сниффер?
2. Какая структура сети?
3. Что значит "ощющение"? Что контретно происходит на контроллере?
Цитата
Andrey пишет:
Есть шлюз на нём вторичная зона днс лежит - на внутреннем интерфейсе стоит днс 127.0.0.1
на внешнем - провайдерские.
В настройках днс сервера - пересылать на провайдера.
есть 3 контроллера домена - на них в полях днс на интерфейсе стоят разносторонные другие или он же самый контроллеры.
В настройках днс сервера пересылка на шлюз.

Вопрос - как правильно?
1. Как сочитаются три отмеченных выше тезиса? У Вас редкосный талант мутно выражаться! Извиняюсь, не сдержался
2. Правильно, это когда в локальной сети 1 (примари) или 2 (примари+секондари) ДНС сервера. И на всех хостах (включая сервера) прописан этот ДНС сервер. И на шлюзе разрешен форвардинг UDP 53 только для ДНС сервера.
 
 
 
#13
Это нравится:0Да/0Нет
27.09.2010 15:19:40
Сниффер стоит там где его поставить.
Сейчам поставил на 2 контроллера домена и на шлюз.
Структура сети плоская. 1 маршрутизатор - он же шлюз, 3 контроллера домена.
По ощющением означает что сниффером не видно было никаких пользовательских днс запросов таких же какие были бы пересланы на шлюз.
Сеть очень запутаная с точки зрения пользователей, больше 20 машин с виртуальными машинами, пользователи делают что хотят ибо программисты.


По поводу настройки ДНСа - сделал вот сейчас:
На контроллерах домена в свойствах адаптера стоит днс сервер 127.0.0.1
В свойствах днс сервера стоит галочка форвардить все запросы которые не возможно разрешить на шлюз.
На шлюзе - на внутреннем 127.0.0.1 на внешнем - провайдерские. В свойствах днс сервера - форвардить на провадерские.

На пользователях стоит днс1 - шлюз, днс2 - один из контроллеров домена
 
 
 
#14
Это нравится:0Да/0Нет
28.09.2010 11:50:12
Цитата
Andrey пишет:
На шлюзе - на внутреннем 127.0.0.1 на внешнем - провайдерские. В свойствах днс сервера - форвардить на провадерские.
Таким образом получается, что шлюз - ДНС сервер в локальной сети?
Цитата
Andrey пишет:
На контроллерах домена в свойствах адаптера стоит днс сервер 127.0.0.1
Служба ДНС сервера поднята?
Цитата
Andrey пишет:
На пользователях стоит ... днс2 - один из контроллеров домена
А это зачем? Уберите. Оставьте только IP ДНС сервера локальной сети.
Все запросы обрабатываются ДНС сервером. Если хотите кеширование, то делайте его на ДНС сервере. Контроллеры оставьте в покое.
Как поправите, ставте сниффер на внутренний ифейс шлюза (ДНС сервера) и смотрите кто какие запросы отправляет.
 
 
 
#15
Это нравится:0Да/0Нет
28.09.2010 23:46:48
Цитата
RU_LIDS пишет:
2. Правильно, это когда в локальной сети 1 (примари) или 2 (примари+секондари) ДНС сервера

Cовершенно необязательно. Может быть вполне достаточно и форвардящего (он же кэширующий) ДНС-сервера, который связывается с ДНС-провайдера. Хотя с точки зрения автономности, да и экономии трафика лучше, конечно, иметь собственные ДНС-сервера.

Цитата
Andrey пишет:
В свойствах днс сервера стоит галочка форвардить все запросы которые не возможно разрешить на шлюз. На шлюзе - на внутреннем 127.0.0.1 на внешнем - провайдерские. В свойствах днс сервера - форвардить на провадерские.

А это и есть схема, предложенная выше. :) Только форвардинг на ДНС провайдера лично мне кажется лишним звеном. На шлюзе те запросы, которых нет на самом сервере (а в начале работы или после очистки его кэша их будет мало) будет резолвить сам АВТОНОМНЫЙ ДНС-сервер на шлюзе. Исходя из рекурсивных запросов, на котором основана технология DNS.
 
 
 
#16
Это нравится:0Да/0Нет
29.09.2010 13:11:37
Цитата
RU_LIDS пишет:
Служба ДНС сервера поднята?

Конечно - этоже контроллеры домена, на них зона доменная.

В том что бы на клиентах были в настройках днс были контроллеры домена - была своя логика. Часто бывает что пропадает часть сети - сегмент не доступен, электричество, свичи, просто вот как сейчас ситуация что шлюз время от времени не доступен - А для виндовой доменной сети отсутствие днса равносильно прекращению работы всей сети. Поэтому то клиенты и долбяться на ближайший контроллер домена который на этом же этаже находиться и скорее всего доступен и работает.
 
 
 
#17
Это нравится:0Да/0Нет
29.09.2010 15:31:32
Ну так выделите ОДИН неймсервер, на котором держите и доменную зону и домен второго уровеня. Причем это и не должен быть шлюз. На шлюзе должно быть поднято минимум сервисов. Он должен только форвардить траффик.
А у Вас каша из неймсерверов, в следствии чего Вы не можете определить, кто, откуда и зачем шлет запросы.

Или Вы не хозяин сети, а сеть состоит из трех (по количеству контроллеров) сетей?
Изменено: RU_LIDS - 29.09.2010 15:33:41 (*)
 
 
 
#18
Это нравится:0Да/0Нет
29.09.2010 15:44:23
Что то сложно получается, у меня тут столько серверов нету. Все пересылки если они где то есть то они на шлюз. Наружу по протоколам dns-а разрешено ходить только шлюзу и почтовому серверу.
Но мысль я вашу понял - буду планировать всё это разгребать.
Сейчас то всё равно не понятно что в трафике искать.

Мого запросов на 137 порт на разрешение странных имен, но не лавинно.
 
 
 
#19
Это нравится:0Да/0Нет
29.09.2010 21:09:42
Andrey, я молчал пока про порты тут не заговорили. Похоже вам надо матчасть подучить. В виндовом траффике всегда очень много udp пакетом на 137 порт летит, это связано с тем, что вынь-сервера используют netbios для определения адресов через gethostbyaddr() функцию. Недавно на форуме поднимался вопрос о сущности виндовых сетей и роли netbios - ключего протокола. А теперь по поводу самих dns серверов. Опять же, это ACTIVE DIRECTORY, на каждый домейн контроллер нужен свой ДНС - это суть виндового АДа. Схема такая: один primary и форвардинг на провайдера и репликейшн по всем. И забудьте про шлюз, там (как правило) нет сервера, а есть "повторитель", тобишь для резолвинга внешних запросов - провайдер с его серверами, для внутренних запросов - DC в каждом сабнете. Почитайте best practices на technet, там все написано доходным языком.
 
 
 
#20
Это нравится:0Да/0Нет
30.09.2010 13:08:44
Спасибо я знаю что это за нетбиос разрешения имён, меня не радуют имена которые собираются таким образом разрешаться.

72495 691.307700 192.168.1.79 192.168.1.255 NBNS Name query NB WPAD.NEVA.RU.<00>
72551 692.057644 192.168.1.79 192.168.1.255 NBNS Name query NB WPAD.NEVA.RU.<00>

72096 682.512963 192.168.1.69 192.168.1.255 NBNS Name query NB 55ECHOSEND.COM<00>
72103 682.636002 192.168.1.69 192.168.1.255 NBNS Name query NB 55ECHOSEND.COM<00>

11 0.749964 192.168.1.210 192.168.1.255 NBNS Name query NB DREAM-LIFE.RU<00>

Естественно их много
 
 
 
Страницы: 1 2 3 След.
Читают тему