apres analyse pcap du trafic incriminé, extrait :
...
03:17:16.861782 IP 192.168.1.101.pwgpsi > 113.10.190.164.http: Flags
[S], seq 223483717, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861790 IP 192.168.1.101.3403 > 113.10.190.164.http: Flags [S],
seq 2632565066, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861796 IP 192.168.1.101.3403 > 113.10.190.164.http: Flags [S],
seq 3264797709, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861803 IP 192.168.1.101.3403 > 113.10.190.164.http: Flags [S],
seq 3264797709, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861810 IP 192.168.1.101.3403 > 113.10.190.164.http: Flags [S],
seq 3264797709, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861817 IP 192.168.1.101.3403 > 113.10.190.164.http: Flags [S],
seq 2632565066, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861824 IP 192.168.1.101.dssiapi > 113.10.190.164.http: Flags
[S], seq 3682841697, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861831 IP 192.168.1.101.remote-winsock > 113.10.190.164.http:
Flags [S], seq 3359203881, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861838 IP 192.168.1.101.remote-winsock > 113.10.190.164.http:
Flags [S], seq 3359203881, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861844 IP 192.168.1.101.remote-winsock > 113.10.190.164.http:
Flags [S], seq 2971501483, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861852 IP 192.168.1.101.remote-winsock > 113.10.190.164.http:
Flags [S], seq 2971501483, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861858 IP 192.168.1.101.ati-ip-to-ncpe > 113.10.190.164.http:
Flags [S], seq 2500809523, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861865 IP 192.168.1.101.ati-ip-to-ncpe > 113.10.190.164.http:
Flags [S], seq 2657654922, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861872 IP 192.168.1.101.ati-ip-to-ncpe > 113.10.190.164.http:
Flags [S], seq 2661998392, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
03:17:16.861879 IP 192.168.1.101.mqe-agent > 113.10.190.164.http: Flags
[S], seq 1759456840, win 65535, options [mss 1460,nop,nop,sackOK], length 0
03:17:16.861885 IP 192.168.1.101.iee-qfx > 113.10.190.164.http: Flags
[S], seq 3559881937, win 65535, options [mss 1460,nop,nop,sackOK], length 0
...
des milliers de paquets avec le Flag S (Sync) cf :
http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard
montre qu'il s'agit vraisemblablement d'un SynFlood attack
je me lance alors dans l'espoir d'intercepter ça avec les outils cisco
http://www.sans.org/security-resources/idfaq/syn_flood.php
http://ccie-or-null.net/tag/cisco-tcp-intercept/
http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3
Helas, sur mon 6500E pas de commande *ip tcp intercept :-( !
*/6509E(config)#ip tcp intercept//
// ^//
//% Invalid input detected at '^' marker./*
*ça sort d'où cette commande ? n'est pas disponible par défaut ?*
*Merci .
*
*Le 24/07/2015 12:24, David Ponzone a écrit :
Si tu commençais par ajouter dans SPOOFING-IN un deny sur tout ce qui
est RFC1918 et autres saloperies qui n’a rien à faire là.
Mais idéalement, il faut mettre ça en ingress de ton réseau.
A ce moment là, les logs, ça devient inutile (ou un luxe que tu ne
peux plus te permettre).
Le 24 juil. 2015 à 11:30, jehan procaccia INT
<jehan.procac...@int-evry.fr <mailto:jehan.procac...@int-evry.fr>> a
écrit :
Le 23/07/2015 18:40, David Ponzone a écrit :
Il serait peut-être temps de mettre des ACL ingress pour filtrer tout ce qui
n’a rien à faire là (RFC1918, etc…), ou mieux: n’autoriser que ce qui doit
arriver par l’interface en question si possible.
j'avais pourtant déjà mis du uRPF et des access-group en IN et OUT
sur le Edge (ASR)
interface GigabitEthernet0/0/2
....
* ip access-group SPOOFING-IN in**
** ip access-group 112 out*
ip flow ingress (j'ai aussi un netflow collector via nfsen ...)
ip flow egress
* ip verify unicast reverse-path**
*
asr1-evry#show access-lists SPOOFING-IN (je deny en IN des IP de mon
network qui seraient spoofées depuis l'exterieur !)
Standard IP access list SPOOFING-IN
20 deny X.Y.0.0, wildcard bits 0.0.255.255
30 permit any (2658219251 matches)
asr1-evry#show access-lists 112 (ACL en out qui m'a permis de
detecter le pb par effet de bord ...)
Extended IP access list 112
10 deny ip 192.168.1.0 0.0.0.255 any log-input (44452922
matches) => mon pb du moment
20 deny ip 192.168.0.0 0.0.255.255 any log (4847 matches) => il
faut que j'ajoute les autres subnet RFC1918 ....
40 permit ip any any (1058619881 matches)
mais effectivement je ne filtre pas les RFC1918 sur le Core (6500)
il va falloir que je vérifie comment améliorer ces filtrages .
Concernant la charge d'un ASR pour 50Kps qui sature a cause des ACL
en mode "LOG" ,
je pense probablement que c'est cet aspect LOG qui sature et non le
forward de 50Kps sur une telle bête de course
d'ailleurs les messages sur la console indiquent bien ça:
Jul 22 10:19:43 157.159.8.3 1852677: Jul 22 06:47:33.609:
%IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:025
TS:00025904738204986240 %*PKTLOG-3-PKTLOG_IPC_SEND_FAILED*: IPv4 ACL
log Tail Drop
je serait bien tenté de retirer l'option LOG de mon ACL outgress,
mais inversement, sans ça je n'aurai pas été alerté de la présence de
trafics illégitimes .
un vrais IDS sur le LAN serait peut-etre plus approprié, mais mettre
une boites noires a $$$$ sur un LAN comprenant plusieurs dizaine
d'interfaces 10G et Centaines 1G me parait budgétairement inabordable
. On avait bien un carte FWSM (firewall module) dans le 6500E , mais
elle est deprecated ...
je vais m'orienter vers une application des traditionnels filtres
in/outgress sur mon Core 6500E
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html
http://www.techrepublic.com/article/prevent-ip-spoofing-with-the-cisco-ios/
https://www.revelify.com/ingress-and-egress-filtering-with-acls/
Merci pour les conseils .
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
