URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18948
[ Назад ]

Исходное сообщение
"Много запросов днс на циске"

Отправлено DNS и Cisco , 26-Май-09 13:06 
С некоторых пор заметил огромного количество нат преобразований по 53 порту на циске.
sh ip nat tr | begin :53


udp 1.1.1.1:49260   192.168.10.2:49260    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:49273   192.168.10.2:49273    83.242.139.10:53      83.242.139.10:53
udp 1.1.1.1:49273   192.168.10.2:49273    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50349   192.168.10.2:50349    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50354   192.168.10.2:50354    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50406   192.168.10.2:50406    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50446   192.168.10.2:50446    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50475   192.168.10.2:50475    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50554   192.168.10.2:50554    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50588   192.168.10.2:50588    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50627   192.168.10.2:50627    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50648   192.168.10.2:50648    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50729   192.168.10.2:50729    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50743   192.168.10.2:50743    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50824   192.168.10.2:50824    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50867   192.168.10.2:50867    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50897   192.168.10.2:50897    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50938   192.168.10.2:50938    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50968   192.168.10.2:50968    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50985   192.168.10.2:50985    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50990   192.168.10.2:50990    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51064   192.168.10.2:51064    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51125   192.168.10.2:51125    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51134   192.168.10.2:51134    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51139   192.168.10.2:51139    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51208   192.168.10.2:51208    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51379   192.168.10.2:51379    83.242.140.10:53      83.242.140.10:53

этих трасляций десятки в нат таблице.(1.1.1.1 - интерфейс к провайдеру),днс прова 83.242.140.10

Днс работает стандартно. У клиентов указан внутренний днс,а сам внутренний днс делает фарвординг запросов на днс провайдера 83.242.140.10. Вирусов на серваке где размещен внутренний днс нет.


Из-за возникшей ситуации с днс возникли проблемы с производительностью интернета,все начало жутко подтупливать..Считаю данную ситуации аномальной так как настроены еще 3 циски аналогично в других филиалах и проблем с днс нет

думаю этих строк из конфига циски будет достаточно что касается днс. ( список доступа который размещен на внутреннем интерфейсе циски)
ip access-list extended X.x.x.x
permit udp host 192.168.10.2 host 83.242.140.10 eq domain
permit udp host 192.168.10.2 host 83.242.139.10 eq domain
permit udp host 192.168.10.3 host 83.242.140.10 eq domain
permit udp host 192.168.10.3 host 83.242.139.10 eq domain

ip access-list extended Local_to_Comstar
permit udp host 192.168.10.2 host 83.242.140.10 eq domain

Всем спасибо!


Содержание

Сообщения в этом обсуждении
"Много запросов днс на циске"
Отправлено vest , 26-Май-09 13:39 
>[оверквотинг удален]
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
> permit udp host 192.168.10.2 host 83.242.139.10 eq domain
> permit udp host 192.168.10.3 host 83.242.140.10 eq domain
> permit udp host 192.168.10.3 host 83.242.139.10 eq domain
>
>ip access-list extended Local_to_Comstar
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
>
>Всем спасибо!
>

У вас внутренний ДНС находится во внутренней сети?
Попробуйте сделать подобный список на внутреннем интерфейсе:
cisco(config)#access-list 100 permit udp host <IP внутреннего ДНС> eq domain host 83.242.140.10 eq domain
cisco(config)#access-list 100 deny udp any eq domain any eq domain
cisco(config)#access-list 100 permit ip any any
cisco(config-if)#ip access-group 100 in
и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
cisco(config)#access-list 110 deny udp any eq domain any eq domain
cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
cisco(config-if)#ip access-group 110 in

Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из внутренней сети могли обращаться "правильные" пользователи.


"Много запросов днс на циске"
Отправлено DNS и Cisco , 26-Май-09 13:59 
>[оверквотинг удален]
>cisco(config-if)#ip access-group 100 in
>и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
>
>cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
>cisco(config)#access-list 110 deny udp any eq domain any eq domain
>cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
>cisco(config-if)#ip access-group 110 in
>
>Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из
>внутренней сети могли обращаться "правильные" пользователи.

у меня используется технология ip inspect для открытия обратных портов на внешнем интерфейсе
ip inspect name IPFW dns
ip inspect name IPFW http
ip inspect name IPFW tcp
ip inspect name IPFW udp
ip inspect name IPFW icmp
ip inspect name IPFW ftp


согласно списку доступа наложенным на внешней интерфейс то днс из вне блокируется для всех адресов
ip access-list extended Comstar_2
permit icmp any host 1.1.1.1
permit tcp any host 1.1.1.1 eq smtp
permit udp any host 1.1.1.1 eq isakmp
permit udp any host 1.1.1.1 eq non500-isakmp
permit esp any host 1.1.1.1

а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены только с адреса 192.168.10.2 на днс прова 83.26.140.10

т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?


"Много запросов днс на циске"
Отправлено DNS и Cisco , 26-Май-09 14:01 
>[оверквотинг удален]
> permit tcp any host 1.1.1.1 eq smtp
> permit udp any host 1.1.1.1 eq isakmp
> permit udp any host 1.1.1.1 eq non500-isakmp
> permit esp any host 1.1.1.1
>
>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>
>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>

да,внутренний днс находиться внутри сети


"Много запросов днс на циске"
Отправлено vest , 27-Май-09 00:39 
>[оверквотинг удален]
>> permit udp any host 1.1.1.1 eq non500-isakmp
>> permit esp any host 1.1.1.1
>>
>>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>>
>>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>>
>
>да,внутренний днс находиться внутри сети

Тогда вы не там ищите решение, не надо пытаться поставить костыли, тем более что в данном случае это проблематично, надо лечить причину.
Если постоянные запросы на трансляцию в нат идут с внутреннего dns-сервера, то кто-то же эти запросы создает, не правда ли? Если не сам сервер, то кто-то 3-й? :)
Шерше ля фам. :)
Посмотрите на сервере, кто на него шлет постоянно запросы....... в логах должно быть видно.


"IMHO, у вас вирус на 192.168.10.2"
Отправлено j_vw , 26-Май-09 20:41 
.


"IMHO, у вас вирус на 192.168.10.2"
Отправлено SergTel , 27-Май-09 22:31 
>.

НЕ факт
вирус на хосте что запросы кидает на 192.168.10.2
Была ситуация точь в точь
вирус на букере работника оказался
он только проверить хотел букер на вирусы
Каспер KIT как публичный дом светился
ситуация при этом была на рутере гиблая
Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и не обязательно с выходом через нат



"IMHO, у вас вирус на 192.168.10.2"
Отправлено DNS и Cisco , 28-Май-09 09:21 
>[оверквотинг удален]
>
>НЕ факт
>вирус на хосте что запросы кидает на 192.168.10.2
>Была ситуация точь в точь
>вирус на букере работника оказался
>он только проверить хотел букер на вирусы
>Каспер KIT как публичный дом светился
>ситуация при этом была на рутере гиблая
>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>не обязательно с выходом через нат

SergTel
милый человек,а ты не подскажешь как этот вирус назывался или хотя бы чем победили заразу эту?


"IMHO, у вас вирус на 192.168.10.2"
Отправлено huk , 28-Май-09 10:23 
>[оверквотинг удален]
>>вирус на букере работника оказался
>>он только проверить хотел букер на вирусы
>>Каспер KIT как публичный дом светился
>>ситуация при этом была на рутере гиблая
>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>не обязательно с выходом через нат
>
>SergTel
>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>чем победили заразу эту?

Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а дальше хоть в плоть до переустановки системы... это ж уже творческий подоход


"IMHO, у вас вирус на 192.168.10.2"
Отправлено DNS и Cisco , 28-Май-09 10:25 
>[оверквотинг удален]
>>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>>не обязательно с выходом через нат
>>
>>SergTel
>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>чем победили заразу эту?
>
>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>дальше хоть в плоть до переустановки системы... это ж уже творческий
>подоход

по логам там ничего подозрительного нет,к сожалению....или я не там смотрю


"IMHO, у вас вирус на 192.168.10.2"
Отправлено huk , 28-Май-09 10:32 
>[оверквотинг удален]
>>>
>>>SergTel
>>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>>чем победили заразу эту?
>>
>>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>>дальше хоть в плоть до переустановки системы... это ж уже творческий
>>подоход
>
>по логам там ничего подозрительного нет,к сожалению....или я не там смотрю

Система какая? Виндюки что ли? Тогда я пас...


"Вот Это попробуйте:"
Отправлено j_vw , 28-Май-09 21:09 
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

По сессиям увидите "клиента" ;)
Что то мне "пятая точка" подсказывает, что у вас еще SMTP трафик должен быть ненормальным ;)

Найдете клиента, запустите на нем:
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Искать в drivers всякую Х;%№" ;)
Ну, и остальное проверить...



"И, если это ТО, о чем я думаю (+)"
Отправлено j_vw , 28-Май-09 22:42 
То ЭТО вам поможет в диагностике


ip access-list extended TRAP
permit tcp any host "SMTP1" eq smtp
permit tcp any host "SMTP2" eq smtp
deny   tcp any any eq smtp log
permit ip any any


interface "Inside"
ip access-group TRAP in



"Правда, это если у вас не собственный почтовик внутри (-)"
Отправлено j_vw , 28-Май-09 22:47 
>

"Правда, это если у вас не собственный почтовик внутри (-)"
Отправлено momo , 28-Май-09 23:26 
>>

Вот что интересное выдало tcpview на самом контроллере...я так понимаю сам dns сервер на контроллере и подтупливает так как прогонял и нодом и касперов с последними обновлениями на наличие виря и они ничего не нашли

dns.exe:4092    UDP    adm-serv3:63923    *:*        
dns.exe:4092    UDP    adm-serv3:50045    *:*        
dns.exe:4092    UDP    adm-serv3:65208    *:*        
dns.exe:4092    UDP    adm-serv3:64694    *:*        
dns.exe:4092    UDP    adm-serv3:55185    *:*        
dns.exe:4092    UDP    adm-serv3:55442    *:*        
dns.exe:4092    UDP    adm-serv3:62895    *:*        
dns.exe:4092    UDP    adm-serv3:55699    *:*        
dns.exe:4092    UDP    adm-serv3:52358    *:*        
dns.exe:4092    UDP    adm-serv3:52615    *:*        
dns.exe:4092    UDP    adm-serv3:59297    *:*        
dns.exe:4092    UDP    adm-serv3:54156    *:*        
dns.exe:4092    UDP    adm-serv3:51586    *:*        
dns.exe:4092    UDP    adm-serv3:65207    *:*        
dns.exe:4092    UDP    adm-serv3:55184    *:*        
dns.exe:4092    UDP    adm-serv3:59296    *:*        
dns.exe:4092    UDP    adm-serv3:53899    *:*        
dns.exe:4092    UDP    adm-serv3:62894    *:*        
dns.exe:4092    UDP    adm-serv3:60067    *:*        
dns.exe:4092    UDP    adm-serv3:62380    *:*        
dns.exe:4092    UDP    adm-serv3:58782    *:*        
dns.exe:4092    UDP    adm-serv3:52871    *:*        
dns.exe:4092    UDP    adm-serv3:64436    *:*        
dns.exe:4092    UDP    adm-serv3:59039    *:*        
dns.exe:4092    UDP    adm-serv3:64179    *:*        
dns.exe:4092    UDP    adm-serv3:55698    *:*        
dns.exe:4092    UDP    adm-serv3:62893    *:*        
dns.exe:4092    UDP    adm-serv3:54926    *:*        
dns.exe:4092    UDP    adm-serv3:50300    *:*        
dns.exe:4092    UDP    adm-serv3:65206    *:*        
dns.exe:4092    UDP    adm-serv3:49786    *:*        
dns.exe:4092    UDP    adm-serv3:54412    *:*        
dns.exe:4092    UDP    adm-serv3:49529    *:*        
dns.exe:4092    UDP    adm-serv3:51585    *:*        
dns.exe:4092    UDP    adm-serv3:64178    *:*        
dns.exe:4092    UDP    adm-serv3:59038    *:*        
dns.exe:4092    UDP    adm-serv3:61865    *:*        
dns.exe:4092    UDP    adm-serv3:50814    *:*        
dns.exe:4092    UDP    adm-serv3:56724    *:*        
dns.exe:4092    UDP    adm-serv3:62635    *:*        
dns.exe:4092    UDP    adm-serv3:51070    *:*        
dns.exe:4092    UDP    adm-serv3:54411    *:*        


думаю что это явно не правильно


"Это выходит за рамки данной конференции"
Отправлено j_vw , 28-Май-09 23:41 
"Обходной" маневр :
Настройте в качестве сервера DNS - кошку.
А на кошке пропишите редирект на ваш DNS

Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
Но 100% загрузку в случае вируса можете схватить "на раз" ;)  


"Это выходит за рамки данной конференции"
Отправлено momo , 28-Май-09 23:49 
>"Обходной" маневр :
>Настройте в качестве сервера DNS - кошку.
>А на кошке пропишите редирект на ваш DNS
>
>Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
>
>Но 100% загрузку в случае вируса можете схватить "на раз" ;)

пробовал только вот циска тут же умерла когда я настроил на ней днс..процессор не выдержал нагрузки


"Ну, не умерла...."
Отправлено j_vw , 28-Май-09 23:52 
Пароль будете 10 минут набирать...
Но, подозрение на вирус - определенное...
Перехват по SMTP делали?



"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено j_vw , 28-Май-09 23:50 
>

"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено momo , 28-Май-09 23:59 
>>

нет не делал..как можно проделать данную процедуру?


"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено huk , 29-Май-09 10:33 
>>>
>
>нет не делал..как можно проделать данную процедуру?

скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
установите на сервер и смотрите откуда идут запросы, если в логах не можете найти.


"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено momo , 29-Май-09 13:12 
>>>>
>>
>>нет не делал..как можно проделать данную процедуру?
>
>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>установите на сервер и смотрите откуда идут запросы, если в логах не
>можете найти.

собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере он показывает что кроме почтовика никто запросы на обработку внешних запросов никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не так много


"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено huk , 29-Май-09 14:12 
>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много

В общем... Я уже запутался сколько у вас физически серверных машинок и какие сервера на них подняты... Тем более, если у Вас виндюки стоят.... но это собственно не особо важно, если Вы выяснили какая физически машинка посылает постоянно основную массу запросов...
Берете еще одну машинку... поднимаете на ней тоже самое и ставите на место той, которая шлет всякую х**, а старую временно в угол, отключенной от сети. Если эта х** через циску прекратится, то значит сносите систему на старой машинке к едрени фени ставите все заново...
Если бы юзали *nix на серверах, то было бы проще... там хоть завирусоваться нельзя...


"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено SergTel , 29-Май-09 14:41 
>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много

О как много написано!!!
1)Трафик ниоткуда не возьмется его кто-то генерит
Значит надо найти генератора трафика
2)Если в данный момент нет трафика это не значит что его и не будет в будущем, скорее всего данный хост просто выключен
3)Отлов делать исходя из пункта 2 в момент "тупления" интернета.
4)Не все вирусы определяются антивирусной системой
Практика показала что снятие винта с "чистой" машины и подключением к хосту с изначально установленным антивирусом находило достаточно много вирусни в основном BOOT and autoruns types
P.S.
Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под новелом крутился иначе давно бы упал)причем машинка даже в инет не ходила все по сетке и флешках натаскали.
После установки и чистки систем служебный трафик упал в 4 раза.
Судя по описанию это разновидность DOS или DDOS ее могут делать как черви так и бэкдоры
Так что желаю Вам приятной охоты с успешным финалом


"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено SergTel , 29-Май-09 14:45 
Да и нормальный провайдер всегда предупреждает о наличии от пользователя подозрительной активности на строго определенных портах

"DNS сервер, понятно, в другую подсеть....(-)"
Отправлено momo , 29-Май-09 14:47 
>[оверквотинг удален]
>Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и
>ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
>После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте
>умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под
>новелом крутился иначе давно бы упал)причем машинка даже в инет не
>ходила все по сетке и флешках натаскали.
>После установки и чистки систем служебный трафик упал в 4 раза.
>Судя по описанию это разновидность DOS или DDOS ее могут делать как
>черви так и бэкдоры
>Так что желаю Вам приятной охоты с успешным финалом

спасибо всем кто откликнулся....Проблему удалось решить поднятием друго днс сервера. Запросы по 53 перестали нагружить циску. Видимо сам днс сервер на винде начал подтупливать)