1 (36)

0

2

Вопрос к знатокам. Запустив tcpdump -i ppp5 -n -vvv
Тут обнаружил массу пакетов следующего вида:

15:21:23.907854 IP (tos 0x0, ttl 46, id 4228, offset 0, flags [none], proto UDP (17), length 69)
    8.8.8.8.53 > 1.1.1.1.80: [udp sum ok] 55293 ServFail q: ANY? hccforums.nl. 0/0/1 ar: . OPT UDPsize=512 (41)
15:21:25.908745 IP (tos 0x0, ttl 46, id 4834, offset 0, flags [none], proto UDP (17), length 69)
    8.8.8.8.53 > 1.1.1.1.80: [udp sum ok] 10728 ServFail q: ANY? hccforums.nl. 0/0/1 ar: . OPT UDPsize=512 (41)
15:21:26.160570 IP (tos 0x0, ttl 46, id 4846, offset 0, flags [none], proto UDP (17), length 69)
    8.8.8.8.53 > 1.1.1.1.80: [udp sum ok] 9523 ServFail q: ANY? hccforums.nl. 0/0/1 ar: . OPT UDPsize=512 (41)
15:21:26.526072 IP (tos 0x0, ttl 46, id 5038, offset 1472, flags [+], proto UDP (17), length 28)
    8.8.8.8 > 1.1.1.1: udp
15:21:26.540822 IP (tos 0x0, ttl 55, id 5038, offset 1480, flags [none], proto UDP (17), length 370)
    8.8.8.8 > 1.1.1.1: udp
15:21:27.990326 IP (tos 0x0, ttl 46, id 5853, offset 0, flags [none], proto UDP (17), length 64)
    8.8.8.8.53 > 1.1.1.1.80: [udp sum ok] 18047| q: ANY? sema.cz. 0/0/1 ar: . OPT UDPsize=512 (36)
15:21:28.477751 IP (tos 0x0, ttl 46, id 5965, offset 0, flags [none], proto UDP (17), length 64)
    8.8.8.8.53 > 1.1.1.1.80: [udp sum ok] 64179| q: ANY? sema.cz. 0/0/1 ar: . OPT UDPsize=512 (36)

Здесь 1.1.1.1 это мой внешний ip
Хватает и других не только с 8.8.8.8

15:23:44.495084 IP (tos 0x0, ttl 122, id 16446, offset 0, flags [none], proto ICMP (1), length 97)
    91.219.170.157 > 1.1.1.1: ICMP 91.219.170.157 udp port 53 unreachable, length 77
	IP (tos 0x0, ttl 244, id 62477, offset 0, flags [none], proto UDP (17), length 69)
    1.1.1.1.80 > 91.219.170.157.53: [no cksum] 35000+ [1au] ANY? hccforums.nl. ar: . OPT UDPsize=8192 (41)
15:23:44.549044 IP (tos 0x0, ttl 50, id 8736, offset 1480, flags [none], proto UDP (17), length 1249)
    46.153.226.195 > 1.1.1.1: udp
15:23:45.184356 IP (tos 0x0, ttl 122, id 3202, offset 0, flags [none], proto UDP (17), length 69)
    95.84.148.154.53 > 1.1.1.1.80: [udp sum ok] 37079 ServFail q: ANY? hccforums.nl. 0/0/1 ar: . OPT UDPsize=4000 (41)
15:23:45.245818 IP (tos 0x0, ttl 50, id 25242, offset 0, flags [none], proto ICMP (1), length 91)
    94.40.87.100 > 1.1.1.1: ICMP 94.40.87.100 udp port 53 unreachable, length 71
	IP (tos 0x0, ttl 242, id 322, offset 0, flags [none], proto UDP (17), length 63)
    1.1.1.1.80 > 94.40.87.100.53: [no cksum] 514+ [1au] ANY? 067.cz. ar: . OPT UDPsize=8192 (35)
15:23:45.498402 IP (tos 0x0, ttl 51, id 41707, offset 0, flags [none], proto ICMP (1), length 92)
    5.244.115.34 > 1.1.1.1: ICMP 5.244.115.34 udp port 53 unreachable, length 72
	IP (tos 0x0, ttl 237, id 4532, offset 0, flags [none], proto UDP (17), length 64)
    1.1.1.1.80 > 5.244.115.34.53: [no cksum] 6258+ [1au] ANY? sema.cz. ar: . OPT UDPsize=8192 (36)
15:23:45.514890 IP (tos 0x0, ttl 55, id 34293, offset 2960, flags [none], proto UDP (17), length 1015)
    89.202.175.250 > 1.1.1.1: udp
15:23:45.662782 IP (tos 0x0, ttl 50, id 15464, offset 0, flags [none], proto ICMP (1), length 97)
    106.197.151.205 > 1.1.1.1: ICMP 106.197.151.205 udp port 53 unreachable, length 77
	IP (tos 0x0, ttl 246, id 9164, offset 0, flags [none], proto UDP (17), length 69)
    1.1.1.1.80 > 106.197.151.205.53: [no cksum] 37455+ [1au] ANY? hccforums.nl. ar: . OPT UDPsize=8192 (41)

tcpdump -i ppp5 -n src 1.1.1.1 молчит при этом,
да и tcpdump -i any -n src 1.1.1.1 тоже
Сам вопрос, какого фига и почему так массово именно c 53-го на 80-й порт который собстно закрыт?

vel Вы большой знаток этого шаманства, может поясните. Спасибо!

Ссылка

←	Трассировка для определения траблов в сети

WHEA нужен ли он мне в Linux?

→

Здесь 1.1.1.1 это мой внешний ip

Ты с Австралии? Правда что у вас там всё вверх ногами?

Lavos ★★★★★
(17.04.16 15:41:33 MSK)

Ответ на: комментарий от Lavos 17.04.16 15:41:33 MSK

Вааааше не смешно, по делу будет что сказать?

anc ★★★★★
(17.04.16 15:51:05 MSK) автор топика

Ссылка

Запрашиваешь резолвинг имён сайтов и удивляешься ответам? (hint: DNS)

gman ★
(17.04.16 15:58:42 MSK)

Ответ на: комментарий от gman 17.04.16 15:58:42 MSK

1. Нет
2. Внимательно смотрим, я получаю только ответы причем с какого-то хрена именно на 80-й порт, от меня запросов нет.

anc ★★★★★
(17.04.16 16:00:23 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:00:23 MSK

1.1.1.1.80 > 91.219.170.157.53: [no cksum] 35000+ [1au] ANY? hccforums.nl. ar: . OPT UDPsize=8192 (41)

gman ★
(17.04.16 16:02:59 MSK)

Ответ на: комментарий от gman 17.04.16 16:02:59 MSK

Еще раз, смотрим внимательней то о чем я спросил, сам пакет
91.219.170.157 > 1.1.1.1
а то что вы привели уже в содержимом или я не правильно понимаю, поэтому и спрашиваю.
ЗЫ Надо было сразу написать, что бы исключить лишнии предположения tcpdump -i ppp5 -n src 1.1.1.1 молчит

anc ★★★★★
(17.04.16 16:10:06 MSK) автор топика

Ответ на: комментарий от gman 17.04.16 16:02:59 MSK

ЗЫ И специально для «знатоков» клиент при запросе серверный порт не открывает. Это вам так на будущее.

anc ★★★★★
(17.04.16 16:20:10 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:10:06 MSK

Нет не содержимое, просто с -vvv tcpdump так выдаёт.

gman ★
(17.04.16 16:20:24 MSK)

Ответ на: комментарий от gman 17.04.16 16:20:24 MSK

Что выдаст? Что выдаст? Пакет только в одну сторону прилетел. Насчет 80-го порта я вам уже ответил.

anc ★★★★★
(17.04.16 16:22:46 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:20:10 MSK

А ты собери лог с -s0 и -w file.dmp и посмотри его в wireshark, например, или сразу в wireshark.

gman ★
(17.04.16 16:23:37 MSK)

Ответ на: комментарий от anc 17.04.16 16:22:46 MSK

Во втором логе я вижу какие-то запросы с 1.1.1.1:80 на 53 порт и icmp отлупы port 53 unreachable.

gman ★
(17.04.16 16:25:10 MSK)

Ответ на: комментарий от gman 17.04.16 16:23:37 MSK

Зачем если выход пустой? Что я том новогу увижу?

anc ★★★★★
(17.04.16 16:26:41 MSK) автор топика

Ссылка

Ответ на: комментарий от gman 17.04.16 16:25:10 MSK

Гдееее?

anc ★★★★★
(17.04.16 16:27:25 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:27:25 MSK

1.1.1.1.80 > 91.219.170.157.53: [no cksum] 35000+ [1au] ANY? hccforums.nl. ar: . OPT UDPsize=8192 (41) 91.219.170.157 > 1.1.1.1: ICMP 91.219.170.157 udp port 53 unreachable, length 77

Просто tcpdump их так выводит.

gman ★
(17.04.16 16:29:11 MSK)

Ответ на: комментарий от gman 17.04.16 16:29:11 MSK

Так, выдохнули, и набрали команду tcpdump -i ppp5 -n они (эти пакеты) там должны быть?

anc ★★★★★
(17.04.16 16:31:14 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:31:14 MSK

А что нет? Значит во втором логе случайные флуктуации.

gman ★
(17.04.16 16:33:08 MSK)

Ответ на: комментарий от anc 17.04.16 16:31:14 MSK

Нет, ну может тебя кто-то спамит, вот и собери более объёмный лог, посмотри в wireshark, точно ли нет исходящих.

gman ★
(17.04.16 16:37:12 MSK)

Ответ на: комментарий от gman 17.04.16 16:33:08 MSK

Блинааа а я вам о чем пишу? Смотрите только начало, т.е. откуда пакет.

anc ★★★★★
(17.04.16 16:48:29 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:48:29 MSK

Ну сам с этим не сталкивался, а гуглится только https://www.us-cert.gov/ncas/alerts/TA13-088A

gman ★
(17.04.16 16:53:04 MSK)

Ссылка

Ответ на: комментарий от gman 17.04.16 16:37:12 MSK

Нет, ну может тебя кто-то спамит

Вот об этом в основном и был вопрос, может знатоки расшифруют.

посмотри в wireshark, точно ли нет исходящих.

Да мне тупо tcpdump в открытой консоли хватает c tcpdump -i any -n src 1.1.1.1

anc ★★★★★
(17.04.16 16:56:59 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 16:56:59 MSK

Вот ещё https://habrahabr.ru/post/51574/.

gman ★
(17.04.16 17:04:14 MSK)

Ответ на: комментарий от gman 17.04.16 17:04:14 MSK

Не то, у меня-то как раз днс сервера открытого нет, ко мне с 53-го прилетают на 80-й порт.
А так, хоть и не по теме, все верно, сам у клиентов спасал имеено string при ддос атаке, когда мамкины кулцхакеры новую игрушку заимели в виде готового скрипта и самое главное не зная что с ней дальше делать кроме как запустить. Жуткая штука была. И не раз.

anc ★★★★★
(17.04.16 17:13:17 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 17:13:17 MSK

Ну насколько я понимаю вы и являетесь конечной целью атаки, так как dns сервер используется как промежуточное звено для атаки.

gman ★
(17.04.16 17:16:34 MSK)

Ответ на: комментарий от gman 17.04.16 17:16:34 MSK

атакующий (использует адрес 1.1.1.1:80 (ip spoofing) в качестве исходящего) -> DNS запрос на 8.8.8.8:53; 8.8.8.8:53 отвечает на 1.1.1.1:80, т.е. вам.

gman ★
(17.04.16 17:22:48 MSK)

Ответ на: комментарий от gman 17.04.16 17:22:48 MSK

Вопрос снят, ддос у прова.
Спасибо что откликнулись!

anc ★★★★★
(17.04.16 17:30:58 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 17:30:58 MSK

Да не за что, я тут что-то разошёлся, нужно было сразу сагриться на «ANY? hccforums.nl.» и «ANY? sema.cz».

gman ★
(17.04.16 17:33:28 MSK)

Ссылка

Ответ на: комментарий от gman 17.04.16 17:22:48 MSK

атакующий (использует адрес 1.1.1.1:80 (ip spoofing) в качестве исходящего) -> DNS запрос на 8.8.8.8:53; 8.8.8.8:53 отвечает на 1.1.1.1:80, т.е. вам.

Это тоже понятно. Просто никогда не сталкивался с такой забавной штукой как src 80 порт для днс. Засрать же можно и на более «правильные» порты, которые реально открыты будут.

anc ★★★★★
(17.04.16 17:35:23 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 17:35:23 MSK

Ну тут всё понятно они хотят засрать не DNS порт, а именно 80, на котором может крутиться сайт.

gman ★
(17.04.16 17:39:06 MSK)

Ответ на: комментарий от gman 17.04.16 17:39:06 MSK

Хотя да странно

gman ★
(17.04.16 17:41:39 MSK)

Ответ на: комментарий от gman 17.04.16 17:41:39 MSK

Шлётся то по UDP, забавно.

gman ★
(17.04.16 17:42:43 MSK)

Ответ на: комментарий от gman 17.04.16 17:42:43 MSK

Расчёт видимо на просто уменьшение полосы пропускания.

gman ★
(17.04.16 17:44:45 MSK)

Ответ на: комментарий от anc 17.04.16 16:20:10 MSK

ЗЫ И специально для «знатоков» клиент при запросе серверный порт не открывает. Это вам так на будущее.

Ты в курсе, что общение по tcp/udp невозможно без используемых портов с обеих сторон? Что в пакете _обязательно_ указываются src и dst порты? И что по одному только выводу tcpdump ты не увидишь, забинден ли порт на клиентской машине?

Это тебе так, на будущее.

anonymous
(17.04.16 18:08:07 MSK)

Ответ на: комментарий от gman 17.04.16 17:39:06 MSK

Сайт на udp ? :) Неее как раз и не понятно :)

anc ★★★★★
(17.04.16 18:43:10 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 17.04.16 18:08:07 MSK

И что по одному только выводу tcpdump ты не увидишь, забинден ли порт на клиентской машине?

Упортый? 1. Не руту не дадут открыть серверный порт. (это к пояснению выше) 2. по дэфолту для клиентского соединения открывается первый свободный не серверный (если не попросим специально) 3. «клиентской машине» это моя машина.

anc ★★★★★
(17.04.16 18:48:57 MSK) автор топика

Ответ на: комментарий от anc 17.04.16 18:48:57 MSK

Упортый? 1. Не руту не дадут открыть серверный порт. (это к пояснению выше) 2. по дэфолту для клиентского соединения открывается первый свободный не серверный (если не попросим специально) 3. «клиентской машине» это моя машина.

А откуда нам знать, что запущено на твоей машине? Вывод ps и netstat/ss ты не предоставил.

И вообще, пост был в стиле «вот в выводе tcpdump в пакете у клиента есть порт, такого быть не может». Поэтому и повлек за собой такую реакцию.

anonymous
(17.04.16 19:01:49 MSK)

Ответ на: комментарий от anonymous 17.04.16 19:01:49 MSK

Ладно, частично убедили. Но частично. Все рано не знаю как по другому бы оформил при аналогичной ситуации пост.
ЗЫ Вопрос уже закрыт. :)

anc ★★★★★
(17.04.16 19:04:53 MSK) автор топика

Ссылка

Ответ на: комментарий от gman 17.04.16 17:44:45 MSK

Ага. У них оказывается уже неделю такая фигня, я не активно именно им пользуюсь и на 100-ке оно не сильно заметно. Но вот через него гоняю дэфолтный тунель в ipv6 и тут как-то «сильно плохо» стало, решил посмотреть «что за нафиг».

anc ★★★★★
(17.04.16 19:23:49 MSK) автор топика