Я управляю сетевым оборудованием у небольшого провайдера для 60 высотных зданий. В каждом здании есть от 1 до 60 24-портовых коммутаторов, несколько DSLAM или несколько коаксиальных шлюзов, с радиостанциями p2p на крыше и основным маршрутизатором в центральном здании.
Недавно я получил письмо от парня, работающего на SiteTruth, в котором объясняется, что с поддельного адреса электронной почты приходят фишинговые письма, но IP, связанный с доменом электронной почты, является одним из наших. Далее он говорит, что трассировка к IP-адресу передается по кучке наших IP-адресов, прежде чем попасть в трассирующий IP-адрес, и намекает, что мы, возможно, размещаем целый ботнет. Я проделал ту же трассировку и увидел тот же маршрут, который он указал в электронном письме.
Таким образом, маршрут попадает примерно на 60 наших динамических IP-адресов, прежде чем попадет в целевой IP-адрес. Мы используем dhcp для клиентов во всей нашей сети, и все эти переходы были отключены от динамически назначаемых IP-адресов, поэтому отключаются от клиентских ящиков (извините, если я кажусь избыточным).
Я начинающий сетевой администратор, поэтому понятия не имею, что это такое. В чем причина такого большого количества случайных переходов к маршрутизаторам / компьютерам случайных клиентов? Является ли это доказательством ботнета, если домен зарегистрирован на одном из наших IP-адресов и трассировка к нему переходит через 60 других клиентских устройств в нашей сети? Я мог бы найти MAC-адрес ошибочного IP-адреса на маршрутизаторе и отследить его до определенного порта на коммутаторе в здании и отключить этот порт, но если клиент не знает, что он является частью ботнета и не знает, что это происходит то, что мне придется повторно включить порт, поскольку они платят клиентам.
Достаточно интересно, что я только что выполнил ту же трассировку, что и несколько дней назад, когда получил электронное письмо, и теперь на наших IP-адресах осталось всего около 20 переходов, прежде чем цель трассировки будет достигнута. Я предполагаю, что это просто из-за задействованного dhcp? Я действительно понятия не имею.
Кто-нибудь знает, что это за хрень? А если это ботнет, как мне его искалечить? Я предполагаю, что мне нужно будет заблокировать только определенный трафик?
Мы будем очень признательны за любую дополнительную информацию о том, что именно происходит и как с этим бороться. Я не понимаю, почему во время простого tracert так много переходов между динамическими IP-адресами в нашей сети, подтверждает ли это ботнет? Я бы очень хотел что-то сделать, чтобы наши IP-адреса не попали в черный список.
Видеть, как маршрут «прыгает» в вашей сети, действительно странно. Вы должны увидеть поток трафика, который перескакивает от пограничного маршрутизатора через маршрутизаторы распределения. Вы определенно не должны видеть, как трафик маршрутизируется через адреса / устройства конечных пользователей. Я склонен думать, что вы видите какой-то артефакт своей конфигурации в этих выходных данных traceroute, а не свидетельство того, что маршрутизация каким-то образом выполняется вашими конечными пользователями-клиентами, но я не могу сказать наверняка, не увидев этого. (Мне также интересно, какие средства защиты вы включили, чтобы один Заказчик не подделал IP-адреса, назначенные другому. Типичные коммутаторы уровня 2 низкого уровня не обеспечивают достаточной защиты в этом отношении.)
Ваша сеть отличается от типичной корпоративной сети тем, что вы предоставляете доступ в Интернет для платных клиентов. Если бы я был на твоем месте, я бы ошибся на стороне не фильтрация любого трафика, если это вообще возможно. (Ваш другой вопрос относительно: исходящий TCP-порт 25 является примером того, где стало возможным фильтровать трафик. Входящая и входящая фильтрация для предотвращения входа / выхода поддельных IP-адресов в вашу сеть также являются хорошими правилами фильтрации.)
Я думаю, что вполне разумно отключить клиента, который получает вредоносный трафик (и в ваших соглашениях об обслуживании следует указать, что у вас есть такая политика). Очевидно, вам следует попытаться связаться с этим клиентом, чтобы сообщить ему, почему он был отключен. Было бы неплохо, если бы вы предоставили им возможность захвата пакетов, чтобы они могли найти источник и устранить его.
У меня нет опыта работы с интернет-провайдером, чтобы сказать вам, что вы должны отслеживать с точки зрения необычных моделей трафика от клиентов. Ботнеты пытаются имитировать «нормальный» пользовательский трафик, чтобы в любом случае обойти мониторинг и фильтрацию. Меня больше беспокоит мониторинг вашего собственного оборудования на предмет попыток несанкционированного доступа, блокировка интерфейсов управления, чтобы разрешить доступ по защищенным протоколам только с авторизованных хостов, и использование средств маршрутизации и коммутации, которые не позволяют клиентам вмешиваться в дела других клиентов, подменяя их исходные адреса. , исчерпание пула DHCP, установка мошеннических серверов DHCP и т. д.