Это ботнет?

Question

Это ботнет?

Я управляю сетевым оборудованием на небольшом интернет-провайдере для 60 высотных зданий. Каждое здание имеет от 1 до 60 коммутаторов с 24 портами, или несколько DSLAM, или несколько коаксиальных шлюзов, с p2p-радио на крыше, с главным маршрутизатором в центральном здании.

Недавно я получил электронное письмо от парня, работающего в SiteTruth, в котором объясняется, что есть фишинговые электронные письма с поддельного электронного адреса, но IP-адрес, связанный с доменом электронной почты, является одним из наших. Далее он говорит, что traceroute к IP-адресу пересекается с множеством наших IP-адресов, прежде чем сработает IP-адрес трассировки, и намекает на то, что мы можем размещать целый ботнет. Я сделал ту же трассировку и увидел тот же маршрут, который он включил в электронное письмо.

Таким образом, маршрут охватывает около 60 наших динамических IP-адресов, прежде чем попасть на целевой IP-адрес. Мы используем dhcp для клиентов во всей нашей сети, и все эти переходы были отключены при динамически назначенных IP-адресах, поэтому переходы отключаются от клиентских ящиков (извините, если я выгляжу избыточным).

Я начинающий администратор сети, поэтому я понятия не имею, что это такое. В чем причина такого количества случайных переходов на случайные клиентские маршрутизаторы / компьютеры? Является ли это свидетельством наличия ботнета, если домен зарегистрирован на один из наших IP-адресов и трассировка к нему переходит на 60 других клиентских устройств в нашей сети? Я мог бы найти MAC-адрес нарушающего IP-адреса на маршрутизаторе, отследить его до определенного порта коммутатора в здании и отключить этот порт, но если клиент не знает, что он является частью ботнета, и не знает, что это происходит, чем мне придется повторно включить порт, поскольку они платят клиентам.

Интересно, что я только что выполнил ту же трассировку, что и несколько дней назад, когда получил электронное письмо, и теперь на наших IP-адресах осталось всего около 20 прыжков, прежде чем цель трассировки будет достигнута. Я предполагаю, что это только из-за участия dhcp? Я действительно понятия не имею.

Кто-нибудь знает, какого черта это? И если это ботнет, как я могу его калечить? Я предполагаю, что мне нужно будет блокировать только определенный трафик?

Будем весьма благодарны за любую дополнительную информацию о том, что именно происходит и как с этим бороться. Я не понимаю, почему во время простой трассировки происходит так много переходов между динамическими IP-адресами в нашей сети, это подтверждает ботнет? Мне бы очень хотелось сделать что-нибудь, чтобы наши IP-адреса не попали в черный список.

-1

networking routing cisco botnet

Источник

demiAdmin 16 окт '14 в 05:58

1 ответ

Решение

Другие вопросы по тегам networking routing cisco botnet

Evan Anderson 16 окт '14 в 15:10 2014-10-16 15:10 · Accepted Answer · 2014-10-16 15:10

Видеть маршрут "прыгать вокруг" в вашей сети действительно странно. Вы должны увидеть поток трафика, который пересекает ваш граничный маршрутизатор через ваши распределительные маршрутизаторы. Вы определенно не должны видеть, что трафик направляется через адреса / устройства клиентов конечного пользователя. Я склонен думать, что вы видите какой-то артефакт вашей конфигурации в этих выходных данных traceroute, а не свидетельство того, что ваши конечные пользователи как-то выполняют маршрутизацию, но я не могу сказать наверняка, не увидев его. (Мне также интересно, какие средства защиты у вас включены, чтобы предотвратить подделку одним клиентом IP-адресов, назначенных другому. Типичные низкоуровневые коммутаторы уровня 2 не будут обеспечивать достаточной защиты на этом фронте.)

Ваша сеть отличается от обычной корпоративной сети тем, что вы предоставляете доступ в Интернет для платящих клиентов. Если бы я был на вашем месте, я бы ошибался, если бы вообще не фильтровал трафик. (Ваш другой вопрос: исходящий TCP-порт 25 является примером того, где стало приемлемым фильтровать трафик. Выходная и входная фильтрация для предотвращения входа / выхода поддельных IP-адресов также являются хорошими правилами фильтрации.)

Я думаю, что вполне разумно завершить работу клиента, использующего вредоносный трафик (и в ваших соглашениях об обслуживании следует указать, что у вас есть такая политика). Очевидно, вы должны попытаться связаться с клиентом, о котором идет речь, чтобы сообщить им, почему они были отключены. Было бы хорошо, если бы вы предоставили им некоторые захваты пакетов, чтобы они могли найти источник и устранить его.

У меня нет опыта работы с интернет-провайдером, чтобы сказать вам, что вы должны отслеживать, с точки зрения странных моделей трафика от клиентов. Ботнеты пытаются имитировать "нормальный" пользовательский трафик, чтобы обойти мониторинг и фильтрацию в любом случае. Я бы больше беспокоился о том, чтобы контролировать собственное оборудование на предмет попыток несанкционированного доступа, блокировать интерфейсы управления, чтобы разрешить доступ по защищенным протоколам только с авторизованных хостов, и использовать механизм маршрутизации и коммутации, который предотвращает взаимодействие клиентов с другими клиентами, подделку их исходных адресов. исчерпание пула DHCP, установка мошеннических серверов DHCP и т. д.