CiscoForums.it

Inviato: **gio 15 gen , 2009 4:26 am**

Salve ragazzi, ho visto per la prima volta una cosa strana nella console in hyper.
Più che strana, è una cosa che non avevo mai visto, poi potrebbe anche esser normale

Jan 15 02:52:13.010: %FW-4-ALERT_ON: getting aggressive, count (42/500) current
1-min rate: 501
Jan 15 02:52:31.866: %FW-4-ALERT_OFF: calming down, count (44/400) current 1-min
rate: 303
Jan 15 02:52:49.394: %FW-4-ALERT_ON: getting aggressive, count (47/500) current
1-min rate: 501
Jan 15 02:53:16.865: %FW-4-ALERT_OFF: calming down, count (56/400) current 1-min
rate: 387
Jan 15 02:58:00.900: %FW-4-ALERT_ON: getting aggressive, count (41/500) current
1-min rate: 501
Jan 15 02:58:46.878: %FW-4-ALERT_OFF: calming down, count (41/400) current 1-min
rate: 377
Jan 15 02:58:54.646: %FW-4-ALERT_ON: getting aggressive, count (38/500) current
1-min rate: 501
Jan 15 02:59:46.868: %FW-4-ALERT_OFF: calming down, count (50/400) current 1-min
rate: 392
Jan 15 02:59:59.876: %FW-4-ALERT_ON: getting aggressive, count (87/500) current
1-min rate: 501
Jan 15 03:01:28.750: %FW-4-ALERT_ON: getting aggressive, count (46/500) current
1-min rate: 501
Jan 15 03:03:16.907: %FW-4-ALERT_OFF: calming down, count (41/400) current 1-min
rate: 399
Jan 15 03:08:51.206: %FW-4-ALERT_ON: getting aggressive, count (74/500) current
1-min rate: 501
Jan 15 03:11:01.924: %FW-4-ALERT_OFF: calming down, count (42/400) current 1-min
rate: 327
Jan 15 03:15:29.831: %FW-4-ALERT_ON: getting aggressive, count (54/500) current
1-min rate: 501
Jan 15 03:15:31.923: %FW-4-ALERT_OFF: calming down, count (62/400) current 1-min
rate: 386
Jan 15 03:16:16.946: %FW-4-ALERT_OFF: calming down, count (60/400) current 1-min
rate: 337
Jan 15 03:16:42.324: %FW-4-ALERT_ON: getting aggressive, count (57/500) current
1-min rate: 501

Ho fatto una ricerca qui sul forum, ed in merito alla questione ce stato solo un topic nel lontano 2005.

A quanto ho capito si tratta di qualcosa che il firewall blocca, come faccio più precisamente a capire se è una cosa relativa a rete interna o esterna.

Quei numeri 45/500 o su /400 che significano ? attacchi per sessione ? ed il rate:501 ?

Premetto che vi ho copiato solo un piccolo pezzo, ma ho la console che esonda di tali righe

Inviato: **gio 15 gen , 2009 12:07 pm**

Attacco DOS in corso...
Fai uno "sh ip inspect config" per vedere che soglie hai

Inviato: **gio 15 gen , 2009 4:00 pm**

Ciao wizard.. si infatti diceva in quel post che si poteva trattare di attacco dos.
Ho eseguito il comando ed ho questo :

Codice: Seleziona tutto

Router#sh ip inspect config
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [400:500] connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
 Inspection name SDM_LOW
    cuseeme alert is on audit-trail is off timeout 3600
    ftp alert is on audit-trail is off timeout 3600
    h323 alert is on audit-trail is off timeout 3600
    icmp alert is on audit-trail is off timeout 10
    netshow alert is on audit-trail is off timeout 3600
    rcmd alert is on audit-trail is off timeout 3600
    realaudio alert is on audit-trail is off timeout 3600
    rtsp alert is on audit-trail is off timeout 3600
    sqlnet alert is on audit-trail is off timeout 3600
    streamworks alert is on audit-trail is off timeout 30
    tftp alert is on audit-trail is off timeout 30
    tcp alert is on audit-trail is off timeout 3600
    udp alert is on audit-trail is off timeout 30
    vdolive alert is on audit-trail is off timeout 3600

Come faccio a modificare almeno i primi valori, che premetto non ho ben capito a cosa si riferiscono.

Nuovo aggiornamento, questi attacchi mi iniziano ad intasare la connessione... la navigazione inizia a risentire.

Inviato: **gio 15 gen , 2009 4:34 pm**

Facci vedere uno "sh run" che facciamo prima

Inviato: **gio 15 gen , 2009 7:58 pm**

Codice: Seleziona tutto


no aaa new-model
ip subnet-zero
ip name-server 62.94.0.41
ip name-server 62.94.0.42
ip dhcp excluded-address 192.168.0.1 192.168.10.0
ip dhcp excluded-address 192.168.10.251 192.168.15.254
!
ip dhcp pool DHCP
   network 192.168.0.0 255.255.240.0
   dns-server 62.94.0.41
!
!
ip inspect name cuseeme
ip inspect name ftp
ip inspect name h323
ip inspect name icmp
ip inspect name netshow
ip inspect name rcmd
ip inspect name realaudio
ip inspect name rtsp
ip inspect name sqlnet
ip inspect name streamworks
ip inspect name tftp
ip inspect name tcp
ip inspect name udp
ip inspect name vdolive
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
 bandwidth inherit
 ip address 192.168.1.1 255.255.240.0
 ip access-group 101 in
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer0
 bandwidth 7200
 ip address negotiated
 ip access-group 102 in
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname XXXXXXXXXXX
 ppp chap password 0 XXXXXXXX
 ppp pap sent-username XXXXXXX password 0 XXXXXX
!
ip nat translation timeout 150
ip nat translation tcp-timeout 150
ip nat translation udp-timeout 30
ip nat translation max-entries 100000
ip nat inside source list 99 interface Dialer0 overload
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static udp 192.168.10.4 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.10.4 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.2.8 80 interface Dialer0 80

ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http secure-server
!

access-list 99 permit 192.168.10.0 0.0.5.255
access-list 100 permit tcp host 192.168.1.10 any
access-list 100 permit udp host 192.168.1.10 any
access-list 100 permit ip host 192.168.1.10 any
access-list 100 permit icmp host 192.168.1.10 any
access-list 100 permit tcp host 192.168.10.20 any
access-list 100 permit udp host 192.168.10.20 any
access-list 100 permit ip host 192.168.10.20 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 permit ip any any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 permit ip any any
access-list 102 permit udp host 62.94.0.42 eq domain any
access-list 102 permit udp host 62.94.0.41 eq domain any
access-list 102 remark Auto generated by SDM for NTP (123) 62.94.7.9
access-list 102 permit udp host 62.94.7.9 eq ntp any eq ntp
access-list 102 deny   ip 192.168.0.0 0.0.15.255 any
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip host 255.255.255.255 any
access-list 102 deny   ip host 0.0.0.0 any
access-list 102 deny   ip any any log
dialer-list 1 protocol ip permit
!
line con 0
 password XXXXXX
 no modem enable
 speed 9600
line aux 0
line vty 0 4
 exec-timeout 120 0
 password XXXXXXXXXX
 login
 length 0
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
sntp server 62.94.7.9
!
end

Inviato: **ven 16 gen , 2009 10:26 am**

Hai tutto a default x le impostazioni anti-dos del ip inspect...
Dato che immagino sia un router casalingo ti do le impostazioni del mio 837 a casa:

Codice: Seleziona tutto

ip inspect log drop-pkt
ip inspect max-incomplete low 118
ip inspect max-incomplete high 400
ip inspect one-minute high 1500
ip inspect one-minute low 1200
ip inspect hashtable-size 2048
ip inspect tcp finwait-time 10
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 200 block-time 30

Questi dati andrebbero impostati in base al tuo traffico cmq prova

Inviato: **sab 17 gen , 2009 4:50 pm**

Wizard grazie per la condivisione della tua conf in merito; dunque.. sembra aver funzionato con la tua configurazione,non ricevo più quelle righe nella console.

Ma da quando le ho inserite, adesso arrivano al terminale altre righe

Codice: Seleziona tutto

Jan 17 12:28:15.018: %CRYPTO-4-IKMP_NO_SA: IKE message from 124.240.126.105 has
no SA and is not an initialization offer
Jan 17 12:29:20.532: %CRYPTO-4-IKMP_NO_SA: IKE message from 124.240.126.105 has
no SA and is not an initialization offer
Jan 17 15:05:10.714: %CRYPTO-4-IKMP_NO_SA: IKE message from 79.40.112.205   has
no SA and is not an initialization offer
Jan 17 15:06:16.053: %CRYPTO-4-IKMP_NO_SA: IKE message from 79.40.112.205   has
no SA and is not an initialization offer

E' altra gente che si continua a passare il tempo ?

Come sempre ho copiato solo una piccola parte (per non intasare il post), ma ce ne sono pagine nell'arco di 12 ore

Inviato: **lun 19 gen , 2009 11:06 am**

Beh questo è traffico ike e quindi vpn che nn centra...
Sembra proprio che da quegli IP sorgente indicati nei log stiano provando a collegarsi...
Se gli IP sorgente sono sempre gli stessi io gli metterei una bella acl per negargli tutto

Inviato: **mer 21 gen , 2009 5:27 pm**

ciao mi inserisco anche se in ritardo, ad ogni modo meglio tardi che mai,
un buon metodo per contrastare i Dos e DDOS attacks oltre alle cbac list, è quello di configurare ACL di tipo "tcp intercept". In questo modo puoi configurare delle soglie di treshold con cui controllare le risposte del router

Inviato: **mer 21 gen , 2009 9:21 pm**

configurare ACL di tipo "tcp intercept". In questo modo puoi configurare delle soglie di treshold con cui controllare le risposte del router

Si anche però li ho visti poche volte configurati in produzione.
Ci fai vedere una config?! Grazie

Inviato: **gio 22 gen , 2009 1:19 am**

Wizard... come per magia :

Codice: Seleziona tutto

Jan 21 12:17:08.440: %FW-4-ALERT_ON: getting aggressive, count (258/400) current
 1-min rate: 1501
Jan 21 12:19:45.540: %FW-4-ALERT_OFF: calming down, count (11/118) current 1-min
 rate: 1190
Jan 21 12:20:00.012: %FW-4-ALERT_ON: getting aggressive, count (249/400) current
 1-min rate: 1501
Jan 21 12:20:16.968: %FW-4-ALERT_OFF: calming down, count (117/118) current 1-mi
n rate: 1135
Jan 21 12:22:15.397: %FW-4-ALERT_ON: getting aggressive, count (292/400) current
 1-min rate: 1501
Jan 21 12:22:30.545: %FW-4-ALERT_OFF: calming down, count (52/118) current 1-min
 rate: 1146
Jan 21 12:25:45.567: %FW-4-ALERT_OFF: calming down, count (8/118) current 1-min
rate: 1161
Jan 21 13:32:06.828: %FW-4-ALERT_ON: getting aggressive, count (248/400) current
 1-min rate: 1501
Jan 21 13:34:30.760: %FW-4-ALERT_OFF: calming down, count (8/118) current 1-min
rate: 1071

Lo avevo risolto, con la tua config;da oggi nuovamente la stessa storia. Con una differenza se noti... il rate

Come si configura questa cosa dell'interceptor

che non ho capito molto bene

okey.. ammetto di non aver capito per niente

Inviato: **gio 22 gen , 2009 6:24 pm**

Beh ma i log ci stanno se sei sotto attacco eh! vuole dire che sta bloccando!
Non vedo il problema...!

Inviato: **gio 22 gen , 2009 7:10 pm**

Ciao wizard, si vedo che il firewall sta bloccando; ma purtroppo quando sono sotto attacco (oramai spesso e volentieri durante il giorno), la banda si satura, e non riesco a fare nulla con la rete, alcune volte addirittura anche msn crolla. Appena terminano torna tutto a normale amministrazione.

Non puo essere che i pacchetti dell'attacco siano cosi tanti da saturarmi la banda totalmente, al livello che non riesco più ad inviare neanche una mail di testo ?

Inviato: **ven 23 gen , 2009 10:40 am**

Ma pubblichi qualche servizio?
In quelle situazioni come è la cpu e ram del router?
Che router e ios hai?

Inviato: **ven 23 gen , 2009 11:59 am**

Ciao wizard, dunque :

1) nessun tipo di servizio pubblicato
2) 837 con 64MB di ram
3) ios 12.3XC2
4) Cpu tra il 5 ed il 20% e tra i 30 ed i 35MB di ram libera

Ogni volta devo mandare il router in reload per farmi assegnare un nuovo ip; la cosa che non mi quadra è : se fosse un attacco dos, il tizio ignoto come fa a ripescarmi ogni volta se cambio ip. Con un trojan in qualcuno dei terminali, ma li ho controllati, sono ok. Ed ho pure provato a lasciare tutto scollegato, computer spenti. Dopo un periodo che varia dall'1 a 3 ore il router è nuovamente sotto attacco anche senza pc connessi

Mi intasa completamente, neanche google mi apre.

Una scansione di rete all'esterno di una lan non dovrebbe risolvere gli hostname giusto ? per cui su che base mi ritrova ogni volta..

CiscoForums.it

Un vecchio argomento

Un vecchio argomento