attacco DoS

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
federico.cisco
n00b
Messaggi: 7
Iscritto il: gio 15 gen , 2009 10:32 am

Ciao a tutti, sto subendo un attacco Mostruoso sul router Cisco.
La banda in Download è praticamente saturata e sulla lan ho staccato tutto,ma il disastro continua!La banda in download è costante e satura ma la configurazione del mio Cisco è un COLABRODO! anche se riesco ancora a ragiungerlo da remoto.
Io ho fatto solo un access list per uscire fuori in nat e per raggiungerlo da remoto dal mio IP.

Dietro c'è un firewall che protegge la rete interna ma il problema è che l' attacco mi satura il cisco!!
HELP PLEASE


version 11.2
no service finger
service nagle
no service pad
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
enable secret 5 $1$NF70$EkGvUFFFXXXXXXXXeiNjiW8zhYXHJBdGI1
!
no ip source-route
ip nat inside source list 1 interface Serial0/0.1 overload
ip nat inside source list 101 interface Serial0/0.1 overload
ip nat inside source static tcp 192.168.250.2 22 77.XX.XX.XX 22 extendable
ip nat inside source static tcp 192.168.250.2 80 77.XX.XX.XX 80 extendable
ip tcp window-size 2144
ip tcp synwait-time 10
no ip bootp server
ip name-server XX.XX.XX.1
ip name-server XX.XX.XX.2
!
interface Ethernet0/0
ip address 192.168.250.1 255.255.255.0
ip nat inside
no logging event subif-link-status
ntp broadcast
no cdp enable
!
interface Serial0/0
no ip address
encapsulation frame-relay IETF
no logging event subif-link-status
bandwidth 1024
ntp disable
no fair-queue
!
interface Serial0/0.1 point-to-point
ip address 77.XX.XX.XX 255.255.255.252
ip nat outside
no arp frame-relay
no cdp enable
frame-relay interface-dlci 20 IETF
!
interface TokenRing0/0
no ip address
no logging event subif-link-status
shutdown
ring-speed 16
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 77.XX.XX.XX
access-list 1 permit 192.168.250.0 0.0.0.255
access-list 2 permit 67.XX.XX.XX 0.0.0.255
access-list 2 permit 57.XX.XX.XX 0.0.0.255

no cdp run
!
line con 0
password 7 070B29424Dcc0E1F1141
transport output none
line aux 0
no exec
line vty 0 4
access-class 2 in
password 7 082F45195Dcc14044042
login
!
ntp authentication-key 10 md5 05cccc05121F2A4957 7
ntp authenticate
ntp trusted-key 10
ntp server 172.X.X.X key 10
end
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
io inizierei con l'aggiornare IOS se è possibile (version 11.2), poi cancella le password dalla configurazione che ci vuole poco a trovarle :-).
Indaga quale/i IP attaaccano e su cosa.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
federico.cisco
n00b
Messaggi: 7
Iscritto il: gio 15 gen , 2009 10:32 am

Le pws le ho smaneggiate un po' :wink:

Mi stanno facendo richiesta sulla 5060 da un paio di ip (prima dietro c'era una macchina asterisk con un nat sulla 5060), ma adesso che non c'è più continuano sulla 5060.
Il problema è che il cisco invece di fare un drop, risponde con icmp all' ip che attacca dicendo non raggiungibile e queste risposte mi mangiano tutta la banda.
Devo modificare le acl sicuramente per fare un drop da questi ip ed evitare che risponda, ma non so bene come: ho paura di restringerle troppo e rimanere out!Grazie Ciao
federico.cisco
n00b
Messaggi: 7
Iscritto il: gio 15 gen , 2009 10:32 am

Scusa mi devo correggere:

Mi arrivano delle richieste sulla udp 5060 (cercavano di autenticarsi sul centralino)che mi saturano la banda in download sulla seriale da un paio di ip.(il centralino nel quale venivano nattate le porte adesso è staccato)
Il cisco comunque invece di dropparle gli risponde con un pacchetto icmp di reject.Io credo che mandandole in time out con dei drop e non reject questi si calmano.
Rimane credo il discorso delle ACL per droppare richieste da quegli ip.
Inoltre :il comando deny cosa sarà un reject o drop? :shock:
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Prova a mettere in ingresso sulla Serial0/0.1 questa access-list

Codice: Seleziona tutto

access-list 100 deny any any eq 5060
access-list 100 permit any any
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ha funzionato?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
federico.cisco
n00b
Messaggi: 7
Iscritto il: gio 15 gen , 2009 10:32 am

no scusa il ritardo.
Ho dovuto aspettare che passasse da solo.Ma qualcosa mi dice che risuccederà...
Grazie
Rispondi