DDoS uzbrukums RDP pakalpojumiem: atpazīt un cīnīties. Veiksmīga pieredze no Tucha

Pastāstīsim foršu stāstu par to, kā "trešās puses" mēģināja iejaukties mūsu klientu darbā un kā šī problēma tika atrisināta.

Kā tas viss sākās

Viss sākās 31. oktobra rītā, mēneša pēdējā dienā, kad daudziem ļoti nepieciešams laiks, lai atrisinātu steidzamus un svarīgus jautājumus.

Viens no partneriem, kurš mūsu mākonī glabā vairākas viņa apkalpoto klientu virtuālās mašīnas, ziņoja, ka no pulksten 9:10 līdz 9:20 vairāki Windows serveri, kas darbojas mūsu Ukrainas vietnē, nepieņēma savienojumus ar attālās piekļuves pakalpojumu, lietotāji nevarēja lai pieteiktos savos galddatoros, taču pēc dažām minūtēm problēma, šķiet, atrisinās pati no sevis.

Paaugstinājām statistiku par sakaru kanālu darbību, taču nekonstatējām satiksmes pieaugumu vai kļūmes. Apskatījām statistiku par skaitļošanas resursu noslogojumu – nekādu anomāliju. Un kas tas bija?

Tad cits partneris, kurš mūsu mākonī mitina vēl aptuveni simts serveru, ziņoja par tām pašām problēmām, ko atzīmēja daži viņu klienti, un izrādījās, ka kopumā serveri bija pieejami (pareizi reaģējot uz ping testu un citiem pieprasījumiem), taču pakalpojumu attālinātā piekļuve šajos serveros vai nu pieņem jaunus savienojumus, vai tos noraida, un mēs runājām par serveriem dažādās vietnēs, kuru trafika nāk no dažādiem datu pārraides kanāliem.

Paskatīsimies uz šo satiksmi. Pakete ar savienojuma pieprasījumu nonāk serverī:

xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

Serveris saņem šo paketi, bet noraida savienojumu:

xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0

Tas nozīmē, ka problēmu nepārprotami rada nevis kādas problēmas infrastruktūras darbībā, bet gan kas cits. Varbūt visiem lietotājiem ir problēmas ar attālās darbvirsmas licencēšanu? Varbūt kāda veida ļaunprogrammatūra spēja iekļūt viņu sistēmās, un šodien tā tika aktivizēta, tāpat kā pirms pāris gadiem XData и Petja?

Kamēr to kārtojām, saņēmām līdzīgus pieprasījumus no vēl vairākiem klientiem un partneriem.
Kas patiesībā notiek šajās mašīnās?

Notikumu žurnāli ir pilni ar ziņojumiem par mēģinājumiem uzminēt paroli:

Parasti šādi mēģinājumi tiek reģistrēti visos serveros, kur attālās piekļuves pakalpojumam tiek izmantots standarta ports (3389) un piekļuve ir atļauta no jebkuras vietas. Internets ir pilns ar robotprogrammatūru, kas pastāvīgi skenē visus pieejamos savienojuma punktus un mēģina uzminēt paroli (tāpēc mēs ļoti iesakām izmantot sarežģītas paroles, nevis “123”). Tomēr šo mēģinājumu intensitāte tajā dienā bija pārāk augsta.

Kā turpināt?

Vai ieteikt klientiem pavadīt daudz laika, mainot iestatījumus, lai liels skaits galalietotāju pārslēgtos uz citu portu? Nav laba ideja, klienti nebūs apmierināti. Vai ieteikt atļaut piekļuvi tikai caur VPN? Steigā un panikā audzinot IPSec savienojumus tiem, kam tie nav audzināti - iespējams, tāda laime nesmaida arī klientiem. Lai gan, jāsaka, tas jebkurā gadījumā ir dievbijīga lieta, mēs vienmēr iesakām paslēpt serveri privātajā tīklā un esam gatavi palīdzēt ar iestatījumiem, un tiem, kam patīk to izdomāt pašiem, mēs dalāmies instrukcijās IPSec/L2TP iestatīšanai mūsu mākonī starp vietni vai ceļu režīmā -warrior, un, ja kāds vēlas iestatīt VPN pakalpojumu savā Windows serverī, viņš vienmēr ir gatavs dalīties ar padomiem, kā iestatīt standarta RAS vai OpenVPN. Taču, lai arī cik forši mēs bijām, šis nebija labākais laiks, lai veiktu izglītojošu darbu klientu vidū, jo problēma bija jānovērš pēc iespējas ātrāk ar minimālu stresu lietotājiem.

Risinājums, ko ieviesām, bija šāds. Mēs esam izveidojuši caurlaidīgās trafika analīzi tā, lai pārraudzītu visus mēģinājumus izveidot TCP savienojumu ar portu 3389 un atlasītu no tā adreses, kas 150 sekunžu laikā mēģina izveidot savienojumus ar vairāk nekā 16 dažādiem serveriem mūsu tīklā. - tie ir uzbrukuma avoti (Protams, ja kādam no klientiem vai partneriem ir reāla vajadzība izveidot savienojumus ar tik daudziem serveriem no viena avota, jūs vienmēr varat pievienot šādus avotus “baltajam sarakstam”. Turklāt, ja vienā C klases tīklā šajās 150 sekundēs tiek identificētas vairāk nekā 32 adreses, ir jēga bloķēt visu tīklu. Bloķēšana tiek iestatīta uz 3 dienām, un, ja šajā laikā netika veikts neviens uzbrukums no noteikta avota, šis avots tiek automātiski noņemts no “melnā saraksta”. Bloķēto avotu saraksts tiek atjaunināts ik pēc 300 sekundēm.

Šis saraksts ir pieejams šajā adresē: https://secure.tucha.ua/global-filter/banned/rdp_ddos, varat izveidot savus ACL, pamatojoties uz to.

Mēs esam gatavi dalīties ar šādas sistēmas pirmkodu, tajā nav nekā pārāk sarežģīta (tie ir vairāki vienkārši skripti, kas apkopoti burtiski pāris stundu laikā), un tajā pašā laikā to var pielāgot un izmantot ne. tikai, lai aizsargātu pret šādu uzbrukumu, bet arī atklātu un bloķētu visus mēģinājumus skenēt tīklu: sekojiet šai saitei.

Turklāt esam veikuši dažas izmaiņas uzraudzības sistēmas iestatījumos, kas tagad stingrāk uzrauga mūsu mākonī esošo virtuālo serveru kontroles grupas reakciju uz mēģinājumu izveidot LAP savienojumu: ja reakcija neseko otrkārt, tas ir iemesls pievērst uzmanību.

Risinājums izrādījās diezgan efektīvs: vairs nav sūdzību ne no klientiem, ne partneriem, ne no uzraudzības sistēmas. Melnajam sarakstam regulāri tiek pievienotas jaunas adreses un veseli tīkli, kas norāda, ka uzbrukums turpinās, bet vairs neietekmē mūsu klientu darbu.

Drošība ir skaitļos

Šodien uzzinājām, ka citi operatori ir saskārušies ar līdzīgu problēmu. Kāds joprojām uzskata, ka Microsoft veica dažas izmaiņas attālās piekļuves pakalpojuma kodā (ja atceraties, mums jau pirmajā dienā bija aizdomas par to pašu, bet mēs ļoti ātri noraidījām šo versiju) un sola darīt visu iespējamo, lai ātri atrastu risinājumu. . Daži cilvēki vienkārši ignorē problēmu un iesaka klientiem pašiem sevi aizsargāt (mainīt savienojuma portu, paslēpt serveri privātajā tīklā utt.). Un jau pirmajā dienā mēs ne tikai atrisinājām šo problēmu, bet arī izveidojām pamatu globālākai draudu noteikšanas sistēmai, kuru plānojam izstrādāt.

Īpašs paldies klientiem un sadarbības partneriem, kuri neklusēja un nesēdēja upes krastā, gaidot, kad kādu dienu pa to uzpeldēs ienaidnieka līķis, bet gan uzreiz vērsa mūsu uzmanību uz problēmu, kas deva iespēju novērst to tajā pašā dienā.

Avots: www.habr.com