Pull to refresh

Yota, Dlink или скрытый BotNet?

Reading time 4 min
Views 7K
Началось все 1 месяц назад. Клиенты нашей компании стали испытывать проблему при доступе в интернет. Проблема проявляется только у клиентов использующих роутеры и приставки STB. В течение дня, в разное время на оборудование были зафиксированы всплески активности продолжительностью 5-10 минут. Всплески могли происходит в любое время суток утром днем и вечером. Пример такого всплеска я покажу.

image

Работа пошла

Инженеры компании в течение 2-х недель пытались поймать проблему и применили все возможные средства. Элементарный trafshow в рамках multicast по VLAN и по порту не показывали какую либо активность. Поймать что-то левое на Juniper и Cisco так-же не получилось. Мы наблюдали активность только в рамках TCP сессий на всех портах головных маршрутизаторов. При этом не сыпались ошибки. Маршрутизаторы на доме ( у каждого клиента управляемый порт) находились в норме активности не более 15% загрузки CPU. Один из клиентов показал весьма интересную активность на порту в момент пика, его антивирус выдавал ошибку, в рамках которой мы и начали работу.

image

Веселого мало

В самом начале мы грешили на работу настройки нашей маршрутизации, ошибок в multicast IPTV, пытались найти, где у нас косяк, меняли ACL, курили мануалы и пытались решить проблему посредством поддержки Dlink. Ничего не привело к желаемому результату, Dlink отвечал как и всегда «покажите конфиг». Было принято решение создать свой стенд с использованием такого же оборудования. Мы сделали связку Juniper EX-4200 — DGS-3627 — DES-3200-100 — клиентский порт Dlink DIR-300. Поставили компьютер и в рамках одно из проблемных VLAN начали анализировать все входящие и исходящие пакеты. Благодаря этому мы получили весьма интересную активность в момент всплеска.

210 192.168.0.108 192.168.0.1 DNS 74 Standard query A rcmlic.roox.ru
211 192.168.0.1 192.168.0.108 DNS 146 Standard query response, No such name
212 192.168.0.108 192.168.0.255 NBNS 92 Name query NB RCMLIC.ROOX.RU<00>
213 192.168.0.108 192.168.0.1 DNS 74 Standard query A rcmlic.roox.ru
214 192.168.0.1 192.168.0.108 DNS 146 Standard query response, No such name
215 192.168.0.108 192.168.0.255 NBNS 92 Name query NB RCMLIC.ROOX.RU<00>
216 192.168.0.108 192.168.0.1 DNS 74 Standard query A rcmlic.roox.ru
217 192.168.0.1 192.168.0.108 DNS 146 Standard query response, No such name
218 192.168.0.108 192.168.0.255 NBNS 92 Name query NB RCMLIC.ROOX.RU<00>
219 192.168.0.108 192.168.0.1 DNS 74 Standard query A rcmlic.roox.ru
220 192.168.0.1 192.168.0.108 DNS 146 Standard query response, No such name
221 192.168.0.108 192.168.0.255 NBNS 92 Name query NB RCMLIC.ROOX.RU<00>
222 192.168.0.108 192.168.0.1 DNS 74 Standard query A rcmlic.roox.ru
223 192.168.0.1 192.168.0.108 DNS 146 Standard query response, No such name
224 192.168.0.108 192.168.0.255 NBNS 92 Name query NB RCMLIC.ROOX.RU<00>

это происходило порядка 10000 раз в секунду ( точно не посчитали )

Весьма интересный DNS согласны? Мы ведь слышали про Yota но никогда не слышали про ROOX? Мы завернули данный DNS на себя. В логах сервера, куда стали обращаться данные компьютеры был получен лог:

*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»
*.*.238.110 — - [10/Dec/2011:22:58:34 +0300] «POST /YA/PushReport/ HTTP/1.1» 404 293 "-" «Yota Access/YD1.14.0.2660 (Windows 6.1.7601 x64)»

Это только один клиент в рамках милисекунды. На мой взгляд весьма интересно ведет себя приложение Yota, генерируя огромную активность в рамках одной милисекунды. Может быть он опрашивает кого ддосить? И все Yota носители это потенциальные ддосеры? Хотелось бы вынести этот вопрос на Хабр, так как тут находятся самые правильные пользователи сети.

P.S. После заворота DNS активность всплесков прекратилась. Остался и растет только огромный лог на сервере. Мы решили проблему большего ботнета в сети или что это?
Tags:
Hubs:
+77
Comments 46
Comments Comments 46

Articles