Block ip ไปแล้วแต่ทาง noc ยังแจ้งว่า server เราทำการส่ง upd ขึ้นไป ip ที่ block ไปแล้ว

Technical topics
#1

คือได้ดำเนินการ block ip ทั้งวงเลยคือ 180.76.4.xxx

ลอง netstat ก็ไม่มี การเชื่อมต่อแล้ว
[root@ns1 public_html]# netstat -an |grep 180.76
[root@ns1 public_html]#

แต่ทาง isp ยังแจ้งว่า ip ผมมีการทำ upd port 53 ไปที่ ip ดังกล่าว ตาม log ด้านล่าง เลยไม่รู้ว่ามันไปได้อย่างไร และเราจะ block มันได้อย่างไร

เท่าที่ทราบ port 53 คือ dns ใช่ไหมครับ จะปิดก็ไม่ได้

ขอบคุณมากครับ

Po14 202.57.160.xxx Gi5/1 180.76.4.51 11 0035 087C 65
Gi5/1 180.76.4.60 Po14 202.57.160.xxx 11 085E 0035 72
Po14 202.57.160.xxx Gi5/1 180.76.4.60 11 0035 085E 64
Gi5/1 180.76.4.49 Po14 202.57.160.xxx 11 0871 0035 133
Po14 202.57.160.xxx Gi5/1 180.76.4.49 11 0035 0871 126
Gi5/1 180.76.4.175 Po14 202.142.223.162 11 041C 0035 134
Po14 202.142.223.162 Gi5/1 180.76.4.175 11 0035 041C 126

#2

มันเป็น UDP ครับ netstat ไม่เจอ

#3

แล้วเราจะ block มันได้ไหมอะครับ

ใช้อันนี้ จะช่วยได้ไหมครับ

iptables -A OUTPUT -p udp -m owner --uid-owner cat /etc/passwd|grep apache: |cut -d: -f3 --dport ! 53 -j DROP

ขอบคุณมากครับ

#4

ผมลองเช็คจาก iptraf มันมีการส่ง upd จริงๆด้วยส่งไม่หยุดเลย แต่ไม่รู้ว่าจะเช็คได้จากตรงไหน ว่าใครส่ง พอมีทางไหมครับ

ขอบคุณครับ

#5

tcpdump -nn udp

#6

ขอบคุณคุณไอท์ มากครับ
น่าจะเป็น udp flood นะครับ ส่ง package เล้กๆจำนวนมาก


#7

อันนี้มันถูกส่งเข้ามาจาก 180.76.4.x น่ะครับ ต้นทางเป็น baidu server ลอง tcpdump ดูน่าจะเจออะไรประมาณนี้

ไม่รู้ว่า baidu ทำเองหรือโดน spoof แต่เท่าที่ดูก็น่าจะทำเองครับ

12:33:29.679193 IP 180.76.4.207.1049 > *********8.218.53: 35840+ A? th.hao123.com. (31)
12:33:29.679687 IP 180.76.4.32.1051 > *********8.149.53: 37632+ A? th.hao123.com. (31)
12:33:29.680332 IP 180.76.4.142.1615 > *********7.178.53: 43008+ A? th.hao123.com. (31)
12:33:29.680678 IP 180.76.4.39.1055 > *********8.177.53: 42496+ A? th.hao123.com. (31)
12:33:29.681439 IP 180.76.4.40.1056 > *********8.225.53: 42752+ A? th.hao123.com. (31)
12:33:29.682304 IP 180.76.4.112.2460 > *********6.180.53: 41984+ A? th.hao123.com. (31)
12:33:29.683212 IP 180.76.4.107.2444 > *********8.17.53: 43776+ A? th.hao123.com. (31)
12:33:29.715031 IP 180.76.4.115.2480 > *********8.218.53: 35072+ A? th.hao123.com. (31)
12:33:29.716792 IP 180.76.4.203.1044 > *********6.180.53: 41216+ A? th.hao123.com. (31)
12:33:29.717583 IP 180.76.4.252.1042 > *********8.224.53: 44032+ A? th.hao123.com. (31)
12:33:29.718471 IP 180.76.4.229.1041 > *********8.149.53: 36864+ A? th.hao123.com. (31)
12:33:29.718982 IP 180.76.4.179.1042 > *********8.220.53: 35584+ A? th.hao123.com. (31)
12:33:29.719563 IP 180.76.4.44.1043 > *********7.178.53: 42240+ A? th.hao123.com. (31)
12:33:29.719769 IP 180.76.4.114.2445 > *********6.219.53: 36096+ A? th.hao123.com. (31)
12:33:29.720787 IP 180.76.4.51.2163 > *********8.19.53: 42496+ A? th.hao123.com. (31)
12:33:29.721385 IP 180.76.4.166.1622 > *********8.9.53: 43264+ A? th.hao123.com. (31)
12:33:29.721396 IP 180.76.4.165.1604 > *********8.133.53: 43520+ A? th.hao123.com. (31)
12:33:29.722383 IP 180.76.4.169.1622 > *********8.177.53: 41728+ A? th.hao123.com. (31)
12:33:29.723428 IP 180.76.4.44.1049 > *********8.220.53: 46848+ A? th.hao123.com. (31)
12:33:29.723693 IP 180.76.4.179.1053 > *********9.34.53: 47616+ A? th.hao123.com. (31)
12:33:29.724491 IP 180.76.4.49.2162 > *********8.9.53: 54528+ A? th.hao123.com. (31)
12:33:29.725550 IP 180.76.4.209.1048 > *********7.178.53: 53504+ A? th.hao123.com. (31)
12:33:29.725595 IP 180.76.4.169.1634 > *********7.195.53: 55040+ A? th.hao123.com. (31)
12:33:29.726116 IP 180.76.4.60.2143 > *********8.224.53: 55296+ A? th.hao123.com. (31)
12:33:29.726431 IP 180.76.4.7.1050 > *********8.240.53: 46592+ A? th.hao123.com. (31)

ประเด็นคือเราไม่ได้ยิงออก และเป็นการตอบ request dns ตามปกติครับ ไม่ใช่เครื่องมีปัญหา แต่บังเอิญมัน request มาถี่ยิบเลย

#8

ปัญหา คือมันยิงออก ปัญหาคือเป็นลิงค์ inter นะครับ ซึ่งมีค่อนข้างจำกัด

จนทำให้ port หมดไปเยอะเลยนะครับ แบบนี้ เราปิด บล็อคได้ไหมอะครับ แบบไม่ตอบกลับนะครับ

ขอบคุณมากครับ

#9

iptables -I INPUT -s 180.76.0.0/16 -p udp --dport 53 -j DROP

แค่นี้พอครับ

อ้อ ในเครื่องต้องไม่มี csf/apf นะครับ ถ้ามีก็ไปแก้ตามมีตามเกิดของแต่ละ app เอาเอง

#10

ใช่เลยครับ แต่ใน csf นะครับ มันทำให้ iptables ไม่ทำงานเหรอครับ เพราะลองแล้วก็ไม่ได้นะครับ

13:56:14.025549 IP 180.76.4.49.2161 > xxx.xxx.xxx.x65.53: 55040+ A? th.hao123.com. (31)
13:56:14.065559 IP 180.76.4.51.2172 > xxx.xxx.xxx.x65.53: 44288+ A? th.hao123.com. (31)
13:56:14.150832 IP 180.76.4.188.1039 > xxx.xxx.xxx.x65.53: 26880+ A? th.hao123.com. (31)
13:56:14.197728 IP 180.76.4.145.1643 > xxx.xxx.xxx.x65.53: 1280+ A? th.hao123.com. (31)
13:56:14.201669 IP 180.76.4.60.2142 > xxx.xxx.xxx.x65.53: 36096+ A? th.hao123.com. (31)
13:56:14.235668 IP 180.76.4.101.2413 > xxx.xxx.xxx.x65.53: 19968+ A? th.hao123.com. (31)
13:56:14.250278 IP 180.76.4.88.2478 > xxx.xxx.xxx.x65.53: 46592+ A? th.hao123.com. (31)
13:56:14.273198 IP 180.76.4.215.1050 > xxx.xxx.xxx.x65.53: 63488+ A? th.hao123.com. (31)
13:56:14.414665 IP 180.76.4.64.2207 > xxx.xxx.xxx.x65.53: 31488+ A? th.hao123.com. (31)
13:56:14.429664 IP 180.76.4.68.2183 > xxx.xxx.xxx.x65.53: 33792+ A? th.hao123.com. (31)
13:56:14.437773 IP 180.76.4.164.1634 > xxx.xxx.xxx.x65.53: 2048+ A? th.hao123.com. (31)
13:56:14.476542 IP 202.142.223.228.53054 > 239.2.11.71.8649: UDP, length 8
13:56:14.476555 IP 202.142.223.228.53054 > 239.2.11.71.8649: UDP, length 8
13:56:14.485230 IP 180.76.4.49.2161 > xxx.xxx.xxx.x65.53: 63488+ A? th.hao123.com. (31)
13:56:14.524519 IP 180.76.4.51.2172 > xxx.xxx.xxx.x65.53: 52736+ A? th.hao123.com. (31)
13:56:14.610053 IP 180.76.4.188.1039 > xxx.xxx.xxx.x65.53: 35328+ A? th.hao123.com. (31)
13:56:14.620869 IP 180.76.4.145.1643 > xxx.xxx.xxx.x65.53: 9728+ A? th.hao123.com. (31)
13:56:14.660689 IP 180.76.4.60.2142 > xxx.xxx.xxx.x65.53: 44544+ A? th.hao123.com. (31)
13:56:14.695923 IP 180.76.4.101.2413 > xxx.xxx.xxx.x65.53: 28416+ A? th.hao123.com. (31)
13:56:14.710239 IP 180.76.4.88.2478 > xxx.xxx.xxx.x65.53: 55040+ A? th.hao123.com. (31)
13:56:14.733214 IP 180.76.4.215.1050 > xxx.xxx.xxx.x65.53: 6400+ A? th.hao123.com. (31)
13:56:14.874755 IP 180.76.4.64.2207 > xxx.xxx.xxx.x65.53: 39936+ A? th.hao123.com. (31)
13:56:14.888719 IP 180.76.4.68.2183 > xxx.xxx.xxx.x65.53: 42240+ A? th.hao123.com. (31)
13:56:14.899491 IP 180.76.4.164.1634 > xxx.xxx.xxx.x65.53: 10496+ A? th.hao123.com. (31)
13:56:14.949376 IP 180.76.4.49.2161 > xxx.xxx.xxx.x65.53: 6400+ A? th.hao123.com. (31)
13:56:14.989405 IP 180.76.4.51.2172 > xxx.xxx.xxx.x65.53: 61184+ A? th.hao123.com. (31)

#11

csf มัน override การทำงานของ iptables ครับ rule ที่เขียนไว้นอก csf จะโดนลบหมด

ความเห็นส่วนตัวคือ ผมเกลียด csf / apf ครับ iptables เพียวๆ ดีกว่าเยอะ ง่ายกว่า ไม่เรื่องมาก

#12

ใช้ csf ก็สั่ง block ผ่าน csf สิครับ มันมีคำสั่งของมัน
หรือถ้าใช้ da ก็เข้าไป block ผ่านหน้า da ได้เลย
apf ก็ทำนองเดียวกับ csf แต่ไม่มีหน้าจัดการผ่าน da

#13

ผมลองแล้วนะครับ ใช้ผ่าน DA ผ่าน quick deny แล้วก็ไปดูที่ firewal deny ip
180.76.4.101 # Manually denied - Wed Nov 6 10:44:36 2013
180.76.4.88 # Manually denied - Wed Nov 6 10:44:46 2013
180.76.4.215 # Manually denied - Wed Nov 6 10:44:57 2013

แต่พอ tcpdump ก็ยังเข้ามาได้อยู่ดี

10:45:16.834023 IP 180.76.4.101.2413 > 202.142.223.165.53: 63488+ A? th.hao123.com. (31)

รบกวนสอบถามหน่อยนะครับ ไม่แน่ใจว่าถ้าเป็น CSF ต้อง block อย่างไรเหรอครับ

[root@ns165 ~]# service csf status
Status of csf:Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 1794K 106M DROP udp – * * 180.76.0.0/16 0.0.0.0/0 udp dpt:53
2 0 0 ACCEPT tcp – !lo * 202.57.160.129 0.0.0.0/0 tcp dpt:53
3 18 1324 ACCEPT udp – !lo * 202.57.160.129 0.0.0.0/0 udp dpt:53
4 20 9822 ACCEPT tcp – !lo * 202.57.160.129 0.0.0.0/0 tcp spt:53
5 116K 18M ACCEPT udp – !lo * 202.57.160.129 0.0.0.0/0 udp spt:53
6 7571K 835M LOCALINPUT all – !lo * 0.0.0.0/0 0.0.0.0/0
7 430K 793M ACCEPT all – lo * 0.0.0.0/0 0.0.0.0/0

ขอบคุณมากครับ

#14

ขาเข้ายังไงก็เห็นครับ มันคือ udp คุณทำได้แค่ block ไม่ให้ตอบกลับ

#15