none
DOS атака в сети RRS feed

  • Вопрос

  • Уже несколько месяцев наблюдаем следующую проблему в сети. Одно, назовем условно, сетевое устройство, атакует другое сетевое устройство. Атакующим может быть сервер (Windows Server 2012-2019), обычный компьютер (Windows 7 SP1, Windows 10 LTSC), коммутатор доступа. Атакуемым может быть обычный компьютер, сервер, сетевой принтер. Прилагаю ссылку на скриншоты, сделанные во время атаки с помощью Wireshark. 

    https://yadi.sk/d/X4StKI4bErCm3Q

    Из скриншотов видно, что атака идет по разным сетевым протоколам, разным портам. При этом с помощью Zabbix фиксируется одинаковый график сетевого траффика Bits sends на ВСЕ порты ВСЕХ коммутаторов. Если траффик относительно небольшой (до 48Mbs), связь пропадает только с атакующим, если траффик больше 48Mbs, проблемы начинаются во всей сети. Атакуемый при этом почти во всех случаях – выключенный компьютер или компьютер в режиме гибернации. На всех компьютерах и серверах установлен KES 11 cо свежими обновлениями. На коммутаторах включена защита от DOS-атак, защита от петель, настроен Safeguard engine. При атаках с коммутаторов Zabbix получает сообщения «Interface eth1/0/44(): High bandwidth usage >90%». Установлены самые свежие прошивки.

    Помогите, пожалуйста, разобраться!


    26 декабря 2019 г. 8:01

Все ответы

  • Разведите сетевые узлы по VLAN (серверы, клиенты, сетевое оборудование; если принтеров много и их тоже, доступ к принтерам только через принт-сервер).

    К VLAN сетевого оборудования (Вы не указали модели коммутаторов) ограничьте доступ, только для IP админов (если ИТ отдел большой, то и весь отдел перенести в отдельный VLAN). На коммутаторах включите dhcp-snooping и arp protection. Ещё можно настроить аутентификацию клиентов 802.x1 на порту коммутатора используя сертификат и NPS. 

    К серверам разрешите только нужные протоколы.

    WOL не используется в компании? Может кто пытает разбудить выключённые узлы.

    • Изменено AnahaymModerator 26 декабря 2019 г. 8:23 dhcp-snooping и arp protection
    26 декабря 2019 г. 8:13
    Модератор
  • Модели коммутаторов:

    коммутаторы доступа - D-Link DGS 1510, DGS-3120, DGS-1224, DGS-3620, DGS-1100

    магистральный коммутатор-маршрутизатор D-Link DXS-3400, его пробовали менять на SNR-s4550-24xq-ac

    27 декабря 2019 г. 6:27
  • вот пример настройки DHCP-Snooping для 1510. Здесь, с 220 страницы описывает Port Security. Для остальных коммутратор также сможете найти документацию в интернете.
    27 декабря 2019 г. 14:50
    Модератор
  • На всех компьютерах и серверах установлен KES 11 cо свежими обновлениями.
    Здравствуйте,

    1) Уточните пожалуйста, если в вашей организации используется KSC для централизованного управления, перед возникновением проблемы не создавали случайно какую-то свою политику для Kaspersky Network Agent?
    2) Проверьте пожалуйста на коммутаторе таблицу mac-адресов, убедитесь чтобы она не была переполнена.

    P.S. Есть подозрение, что трафик создается централизованным антивирусным продуктом, возможно из-за нстроенной политики или задач.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    28 декабря 2019 г. 4:10
    Модератор
  • Мы уже запланировали работы по разделению сети на vlan-ы. Но это процесс не быстрый...

    У нас действительно используется KSC, просмотрели все политики, ничего эдакого не обнаружили.

    30 декабря 2019 г. 10:37

  • У нас действительно используется KSC, просмотрели все политики, ничего эдакого не обнаружили.

    1) Уточните пожалуйста версию KSC?
    2) Уточните пожалуйста, если на момент проблемы, отключить задачи(task) в KSC, проблема проявляется?


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    30 декабря 2019 г. 17:01
    Модератор
  • 1) Версия KSC 10.5.17.83

    2) Мы пробовали выключать полностью на несколько дней сервер с KSC, проблема сохранялась даже на тех компьютерах, где никогда не был установлен агент и сам антивирус.

    31 декабря 2019 г. 4:02
  • А могли бы пожалуйста предоставить лог с одного из ПК на котором возникает проблема, хотелось бы убедиться, что на нем нет аномального трафика. По возможности собрать лог на момент проблемы используя следующую инструкцию:

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

    Закачайте лог на какое-то хранилище (например onedrive) и в следующем сообщение предоставьте пожалуйста ссылку для скачивания.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    31 декабря 2019 г. 4:26
    Модератор
  • Добрый день!

    К сожалению, предоставить лог не могу из соображений безопасности. Просмотрел его самостоятельно, никаких аномалий не обнаружил.

    Отключили в сети для обычных компьютеров групповой политикой IPv6. Не знаю, с этим ли связано, но проблем в сети стало немного меньше. Сейчас если и возникает данный "шторм", то уровень широковещательного трафика не превышает 8мб/с на порту. Видимо с такой нагрузкой коммутаторы справляются.

    14 января 2020 г. 3:06