Est-ce un botnet?

Je gère un équipement de networking dans un petit FAI pour 60 bâtiments de grande hauteur. Chaque bâtiment possède entre 1 et 60 commutateurs à 24 ports, ou certains DSLAM, ou certaines passerelles coaxiales, avec des radios p2p sur le toit, avec un routeur principal dans un bâtiment central.

J'ai récemment reçu un courriel d'un gars travaillant pour SiteTruth qui explique qu'il y a des courriels de phishing provenant d'une adresse électronique fausse, mais que l'IP associée au domaine de l'email est l'une des nôtres. Il poursuit en disant qu'une traceroute à l'IP rebondit autour d'un tas de nos IP avant de bash l'IP de la trace, et nous suggère d'accueillir un botnet entier. J'ai fait la même traceroute et j'ai vu le même path qu'il a inclus dans le courrier électronique.

Ainsi, l'itinéraire touche environ 60 de nos IP dynamics avant de bash l'IP cible. Nous utilisons dhcp pour les clients sur notre réseau entier et tous ces sauts ne sont pas affectés dynamicment IPs, donc hops des boîtes clients (désolé si je semble redondant).

Je suis un administrateur de réseau aspirant, donc je n'ai aucune idée de ce que c'est. Quelle est la raison de tant de sauts randoms sur les routeurs / ordinateurs randoms des clients? Est-ce une preuve d'un botnet si un domaine est enregistré dans l'une de nos adresses IP et un tracert fait-il sauter dans 60 autres appareils clients sur notre réseau? Je pourrais find le MAC de l'IP offensif sur le routeur et le suivre sur un port particulier sur un commutateur dans un bâtiment et fermer ce port, mais si le client n'a aucune idée, il fait partie d'un botnet et n'a aucune idée. se produisant que je devrai réactiver le port car ils paient des clients.

Il est intéressant de constater que je viens d'effectuer le même tracer que j'ai fait il y a quelques jours lorsque j'ai reçu le courrier électronique et qu'il n'y a que 20 sauts sur nos IP avant que la cible de la trace ne soit atteinte. Je suppose que c'est juste parce que dhcp est impliqué? Je n'ai vraiment aucune idée.

Est-ce que quelqu'un sait ce que c'est que ça? Et si c'est un botnet, comment puis-je l'affaiblir? Je suppose que je devrais bloquer uniquement un trafic particulier?

Plus d'informations sur exactement ce qui se passe et comment s'en occuper serait très appréciée. Je ne comprends pas pourquoi il y a tellement de hops entre les IP dynamics sur notre réseau lors d'un tracert simple, cela confirme-t-il un botnet? J'aimerais vraiment faire quelque chose afin que nos IP ne finissent pas par être en list noire.

Voir un itinéraire "hop around" sur votre réseau est vraiment bizarre. Vous devriez voir un stream de trafic qui fait sauter votre routeur Edge par vos routeurs de dissortingbution. Vous ne devriez certainement pas voir le trafic être apathé via les adresses / périphériques clients de l'user final. J'ai tendance à penser que vous voyez une sorte d'artefact de votre configuration dans ces sorties Traceroute, plutôt que de prouver que le routing est en quelque sorte effectué par vos clients users finaux, mais je ne peux pas le dire sans le voir. (Je me request aussi les protections que vous avez activées pour empêcher un client de falsifier les adresses IP atsortingbuées à un autre. Les commutateurs typiques de couche 2 bas de gamme ne fourniront pas beaucoup de protection sur ce front.)

Votre réseau est différent d'un réseau d'entreprise typique en ce sens que vous fournissez un access à Internet pour les clients payants. Si j'étais dans tes chaussures, je me tromperais du côté de ne pas filterr de trafic si possible. (Votre autre question est la suivante: le port TCP sortant 25 est un exemple de l'acceptation de filtrage du trafic. Le filtrage d'input et de saisie pour empêcher les IP falsifiés d'entrer ou de quitter votre réseau sont également de bonnes règles de filtrage.)

Je pense qu'il est parfaitement raisonnable de fermer un client qui génère un trafic malveillant (et il convient de noter dans vos accords de service que vous avez une telle politique). De toute évidence, vous devriez essayer de contacter le Client en question pour leur faire savoir pourquoi ils ont été coupés. Ce serait bien si vous leur avez fourni des captures de packages pour leur permettre de localiser la source et de l'éliminer.

Je n'ai pas l'expérience d'exécuter un FAI pour vous dire ce que vous devriez surveiller, en termes de templates de trafic étranges des clients. Les botnets essaient d'imiter le trafic user "normal" pour contourner la surveillance et le filtrage de toute façon. Je serais plus préoccupé par le suivi de votre propre équipement pour les tentatives d'access non autorisées, le locking des interfaces de gestion pour permettre l'access avec des protocoles sécurisés à partir de seulement des hôtes autorisés et l'utilisation de routing et de changement de vitesse qui empêche les clients d'interférer avec d'autres clients, spoofing leurs adresses source , épuisant votre pool DHCP, mettant en place des servers DHCP voilés, etc.