james http://blog.cost.edu.cn/james Just another blog.cost.edu.cn weblog Sat, 13 Feb 2010 16:45:32 +0000 http://wordpress.org/?v=2.7 en hourly 1 估计是一起ssh扫描攻击 http://blog.cost.edu.cn/james/2010/02/14/%e4%bc%b0%e8%ae%a1%e6%98%af%e4%b8%80%e8%b5%b7ssh%e6%89%ab%e6%8f%8f%e6%94%bb%e5%87%bb/ http://blog.cost.edu.cn/james/2010/02/14/%e4%bc%b0%e8%ae%a1%e6%98%af%e4%b8%80%e8%b5%b7ssh%e6%89%ab%e6%8f%8f%e6%94%bb%e5%87%bb/#comments Sat, 13 Feb 2010 16:45:32 +0000 james http://blog.cost.edu.cn/james/2010/02/14/%e4%bc%b0%e8%ae%a1%e6%98%af%e4%b8%80%e8%b5%b7ssh%e6%89%ab%e6%8f%8f%e6%94%bb%e5%87%bb/ 突然发现DNS server上关于www.lzptc.edu.cn以及29.16.26.210.in-addr.arpa的查询从
2010.02.14 00:40开始大量增加,并且抓包发现查询这两个域名的IP的tcp 22端口与
210.26.16.29通信也比较多,只能推断210.26.16.29被入侵后,在对很多IP进行ssh扫描
攻击,封锁该IP后一切清静了。

10分钟内PTR类型查询次数
29.16.26.210.in-addr.arpa 5607

10分钟内对www.lzptc.edu.cn的查询次数(这些IP都在被扫描)
210.45.64.3 www.lzptc.edu.cn 610
210.45.78.95 www.lzptc.edu.cn 315
202.38.64.185 www.lzptc.edu.cn 313
210.45.78.89 www.lzptc.edu.cn 312
210.45.72.103 www.lzptc.edu.cn 311
210.45.64.192 www.lzptc.edu.cn 311
210.45.64.89 www.lzptc.edu.cn 309
210.45.121.46 www.lzptc.edu.cn 309
202.38.64.184 www.lzptc.edu.cn 307
210.45.64.138 www.lzptc.edu.cn 306
210.45.64.98 www.lzptc.edu.cn 305
211.86.156.188 www.sina.com 233
222.195.73.134 www.lzptc.edu.cn 158
210.45.64.102 www.lzptc.edu.cn 158
210.45.64.86 www.lzptc.edu.cn 157
210.45.78.171 www.lzptc.edu.cn 156
210.45.64.38 www.lzptc.edu.cn 156
210.45.78.177 www.lzptc.edu.cn 155
210.45.64.92 www.lzptc.edu.cn 155
210.45.64.6 www.lzptc.edu.cn 155
210.45.64.163 www.lzptc.edu.cn 155
210.45.64.87 www.lzptc.edu.cn 154
210.45.64.68 www.lzptc.edu.cn 154
210.45.64.148 www.lzptc.edu.cn 154
210.45.64.85 www.lzptc.edu.cn 153
210.45.79.75 www.lzptc.edu.cn 152
210.45.64.8 www.lzptc.edu.cn 152
210.45.113.52 www.lzptc.edu.cn 152
210.45.64.147 www.lzptc.edu.cn 151
210.45.64.26 www.lzptc.edu.cn 150

]]> http://blog.cost.edu.cn/james/2010/02/14/%e4%bc%b0%e8%ae%a1%e6%98%af%e4%b8%80%e8%b5%b7ssh%e6%89%ab%e6%8f%8f%e6%94%bb%e5%87%bb/feed/ 新的恶性ARP攻击木马 http://blog.cost.edu.cn/james/2009/07/16/%e6%96%b0%e7%9a%84%e6%81%b6%e6%80%a7arp%e6%94%bb%e5%87%bb%e6%9c%a8%e9%a9%ac/ http://blog.cost.edu.cn/james/2009/07/16/%e6%96%b0%e7%9a%84%e6%81%b6%e6%80%a7arp%e6%94%bb%e5%87%bb%e6%9c%a8%e9%a9%ac/#comments Thu, 16 Jul 2009 00:00:25 +0000 james http://blog.cost.edu.cn/james/?p=36 校内很就没有恶性的ARP攻击事件了,昨天一个楼出现了一次比较厉害的ARP攻击.攻击来源是

2009.07.15 13:14:26 210.45.79.38 访问http://taobao.ht.cx/c.js
2009.07.15 13:14:25 210.45.79.38 访问http://b.qsjyy.com/d/cn.htm,里面是一堆
漏洞的网页木马
2009.07.15 13:16:27 210.45.79.38 访问http://winddk.ch.ma/dd.txt
2009.07.15 13:16:27 210.45.79.38 访问http://b.qsjyy.com/b/1.exe ….

然后开始爆发ARP病毒,中毒的机器有很多,都有类似下面的访问
2009.07.15 13:18:53 210.45.79.146 http://taobao.ht.cx/c.js

]]> http://blog.cost.edu.cn/james/2009/07/16/%e6%96%b0%e7%9a%84%e6%81%b6%e6%80%a7arp%e6%94%bb%e5%87%bb%e6%9c%a8%e9%a9%ac/feed/ 各个运营商IP地址列表 http://blog.cost.edu.cn/james/2009/06/04/%e5%90%84%e4%b8%aa%e8%bf%90%e8%90%a5%e5%95%86ip%e5%9c%b0%e5%9d%80%e5%88%97%e8%a1%a8/ http://blog.cost.edu.cn/james/2009/06/04/%e5%90%84%e4%b8%aa%e8%bf%90%e8%90%a5%e5%95%86ip%e5%9c%b0%e5%9d%80%e5%88%97%e8%a1%a8/#comments Thu, 04 Jun 2009 08:15:08 +0000 james http://blog.cost.edu.cn/james/2009/06/04/%e5%90%84%e4%b8%aa%e8%bf%90%e8%90%a5%e5%95%86ip%e5%9c%b0%e5%9d%80%e5%88%97%e8%a1%a8/ 工作中需要各个ISP的IP地址表,这里收集了一些,给大家参考。
COST论坛和<>并希望听取大家的意见,看看以何种方式来共享更哈。

http://staff.ustc.edu.cn/~james/dxwt

]]> http://blog.cost.edu.cn/james/2009/06/04/%e5%90%84%e4%b8%aa%e8%bf%90%e8%90%a5%e5%95%86ip%e5%9c%b0%e5%9d%80%e5%88%97%e8%a1%a8/feed/ 查找自己学校网站是否有恶意代码或被攻击的简单方法 http://blog.cost.edu.cn/james/2009/05/27/%e6%9f%a5%e6%89%be%e8%87%aa%e5%b7%b1%e5%ad%a6%e6%a0%a1%e7%bd%91%e7%ab%99%e6%98%af%e5%90%a6%e6%9c%89%e6%81%b6%e6%84%8f%e4%bb%a3%e7%a0%81%e6%88%96%e8%a2%ab%e6%94%bb%e5%87%bb%e7%9a%84%e7%ae%80%e5%8d%95/ http://blog.cost.edu.cn/james/2009/05/27/%e6%9f%a5%e6%89%be%e8%87%aa%e5%b7%b1%e5%ad%a6%e6%a0%a1%e7%bd%91%e7%ab%99%e6%98%af%e5%90%a6%e6%9c%89%e6%81%b6%e6%84%8f%e4%bb%a3%e7%a0%81%e6%88%96%e8%a2%ab%e6%94%bb%e5%87%bb%e7%9a%84%e7%ae%80%e5%8d%95/#comments Wed, 27 May 2009 09:28:02 +0000 james http://blog.cost.edu.cn/james/?p=32 自己学校的网站是否有恶意代码或被攻击,简单的查询方法是:

1. 利用stopbadware查询

http://www.stopbadware.org/home/reportsearch

输入域名和验证码就可以查询

查到的域名,单击 Google: reported bad 可以查看被有问题的页面信息

2.  利用zone-h查询

http://www.zone-h.org/archive/filter=1

在DOMAIN处输入域名,单击 apply filter 查询

]]> http://blog.cost.edu.cn/james/2009/05/27/%e6%9f%a5%e6%89%be%e8%87%aa%e5%b7%b1%e5%ad%a6%e6%a0%a1%e7%bd%91%e7%ab%99%e6%98%af%e5%90%a6%e6%9c%89%e6%81%b6%e6%84%8f%e4%bb%a3%e7%a0%81%e6%88%96%e8%a2%ab%e6%94%bb%e5%87%bb%e7%9a%84%e7%ae%80%e5%8d%95/feed/ DNS的查询统计 http://blog.cost.edu.cn/james/2009/05/24/dns%e7%9a%84%e6%9f%a5%e8%af%a2%e7%bb%9f%e8%ae%a1/ http://blog.cost.edu.cn/james/2009/05/24/dns%e7%9a%84%e6%9f%a5%e8%af%a2%e7%bb%9f%e8%ae%a1/#comments Sun, 24 May 2009 01:05:06 +0000 james http://blog.cost.edu.cn/james/?p=25 看到 http://www.heinet.cn/dnsMonitor/ 上的DNS统计查询比较直观,就写了一段脚本来从DNS的querylog里生成统计页面。

首先起启用bind的querylog记录,并设置最多记录200M,在named.conf中的关键配置是:

logging {
    category default{ null; };
    channel “querylog” { file “/var/named/data/query.log” size 200m; print-time
yes; };
    category queries { querylog; };
};

统计页面在 http://202.38.64.1/dns

2个脚本是  http://202.38.64.1/dns/run  http://202.38.64.1/dns/gendata

有兴趣的可以在DNS服务器上加上统计。

]]> http://blog.cost.edu.cn/james/2009/05/24/dns%e7%9a%84%e6%9f%a5%e8%af%a2%e7%bb%9f%e8%ae%a1/feed/ 今天突然出现异常多对*.baofeng.com的 DNS 请求 http://blog.cost.edu.cn/james/2009/05/19/%e4%bb%8a%e5%a4%a9%e7%aa%81%e7%84%b6%e5%87%ba%e7%8e%b0%e5%bc%82%e5%b8%b8%e5%a4%9a%e5%af%b9baofengcom%e7%9a%84-dns-%e8%af%b7%e6%b1%82/ http://blog.cost.edu.cn/james/2009/05/19/%e4%bb%8a%e5%a4%a9%e7%aa%81%e7%84%b6%e5%87%ba%e7%8e%b0%e5%bc%82%e5%b8%b8%e5%a4%9a%e5%af%b9baofengcom%e7%9a%84-dns-%e8%af%b7%e6%b1%82/#comments Tue, 19 May 2009 14:33:02 +0000 james http://blog.cost.edu.cn/james/2009/05/19/%e4%bb%8a%e5%a4%a9%e7%aa%81%e7%84%b6%e5%87%ba%e7%8e%b0%e5%bc%82%e5%b8%b8%e5%a4%9a%e5%af%b9baofengcom%e7%9a%84-dns-%e8%af%b7%e6%b1%82/ 导致DNS Server工作异常
在/etc/named.conf 中增加
zone “baofeng.com” in{type master; file “blacklist.zone”;};

blacklist.zone内容为
$TTL 14400 ; 4 hours
@ IN SOA ns.ustc.edu.cn. james.ustc.edu.cn. (
200801001 ; serial
14400 ; refresh (4 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
18000 ; minimum (5 hours)
)
NS ns.ustc.edu.cn.
IN A 127.0.0.1

临时对 *.baofeng.com返回未知主机,临时解决DNS问题

]]> http://blog.cost.edu.cn/james/2009/05/19/%e4%bb%8a%e5%a4%a9%e7%aa%81%e7%84%b6%e5%87%ba%e7%8e%b0%e5%bc%82%e5%b8%b8%e5%a4%9a%e5%af%b9baofengcom%e7%9a%84-dns-%e8%af%b7%e6%b1%82/feed/ www.cisco.com网站中国有镜像 http://blog.cost.edu.cn/james/2009/05/19/wwwciscocom%e7%bd%91%e7%ab%99%e4%b8%ad%e5%9b%bd%e6%9c%89%e9%95%9c%e5%83%8f/ http://blog.cost.edu.cn/james/2009/05/19/wwwciscocom%e7%bd%91%e7%ab%99%e4%b8%ad%e5%9b%bd%e6%9c%89%e9%95%9c%e5%83%8f/#comments Tue, 19 May 2009 03:27:19 +0000 james http://blog.cost.edu.cn/james/2009/05/19/wwwciscocom%e7%bd%91%e7%ab%99%e4%b8%ad%e5%9b%bd%e6%9c%89%e9%95%9c%e5%83%8f/ 经常去www.cisco.com看资料,今天突然发现很快,一检查连接的IP在上海,估计是新增
加的镜像站点或反向代理。

]]> http://blog.cost.edu.cn/james/2009/05/19/wwwciscocom%e7%bd%91%e7%ab%99%e4%b8%ad%e5%9b%bd%e6%9c%89%e9%95%9c%e5%83%8f/feed/ 基于IPv6的IPv4透明隧道建设尝试 http://blog.cost.edu.cn/james/2009/04/30/%e5%9f%ba%e4%ba%8eipv6%e7%9a%84ipv4%e9%80%8f%e6%98%8e%e9%9a%a7%e9%81%93%e5%bb%ba%e8%ae%be%e5%b0%9d%e8%af%95/ http://blog.cost.edu.cn/james/2009/04/30/%e5%9f%ba%e4%ba%8eipv6%e7%9a%84ipv4%e9%80%8f%e6%98%8e%e9%9a%a7%e9%81%93%e5%bb%ba%e8%ae%be%e5%b0%9d%e8%af%95/#comments Thu, 30 Apr 2009 07:04:00 +0000 james http://blog.cost.edu.cn/james/?p=18 我校有用户与科学院高能所IPv4通信量较大,两个网络都有IPv6的高速通道,近期我们在IPv6上建设了IPv4透明通道,对这种应用进行了初步尝试。

设备:双方各有一台Linux机器,eth0口连接IPv6网络,可以互通。eth1口分别连接了IPv4的路由器。

其中: 科大方Linux IPv6地址是2001:da8:d800:f001::125路由器地址是210.45.229.249
高能所方Linux IPv6地址是2001:cc0:2010:23::17路由器地址是210.45.229.251

Linux运行程序v6tap, http://netfee.ustc.edu.cn/~james/v6tap.tgz

科大方的Liux启动脚本为:
brctl addbr ihep
brctl addif ihep eth1.40
ip link set ihep up
ip link set eth1.40 up
/usr/src/v6tap/v6tap  /usr/src/v6tap/tunnel.cfg

tunnel.cfg文件内容为
2001:da8:d800:f001::125 5000 2001:cc0:2010:23::17 5000 ihep

路由器关键配置为:
interface Vlan40
 description IHEP-v6-tunnel
 ip address 210.45.229.249 255.255.255.248

router bgp 21045
 bgp log-neighbor-changes
 neighbor 210.45.229.251 remote-as 3460
 address-family ipv4
 neighbor 210.45.229.251 activate
 neighbor 210.45.229.251 soft-reconfiguration inbound
 neighbor 210.45.229.251 prefix-list ahernet out
 no auto-summary
 no synchronization
 network 114.214.128.0 mask 255.255.128.0
 network 121.251.0.0 mask 255.255.128.0
 network 202.38.64.0 mask 255.255.224.0

ip prefix-list ahernet description AHERNET IP RANGE
ip prefix-list ahernet seq 4 permit 114.214.128.0/17
ip prefix-list ahernet seq 5 permit 121.251.0.0/17
ip prefix-list ahernet seq 10 permit 202.38.64.0/19

以上设置后,双方的IPv4数据,在IPv6和Linux机器正常时,会通过IPv6网络传递,单线程用
wget下载高能所服务器上的文件,带宽很容易到150Mbps以上。

我方设备上看到的路由表
#show bgp
BGP table version is 49, local router ID is 210.45.231.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 202.38.128.0/23  210.45.229.251           0             0 3460 i
*> 202.122.32.0/21  210.45.229.251           0             0 3460 i

]]> http://blog.cost.edu.cn/james/2009/04/30/%e5%9f%ba%e4%ba%8eipv6%e7%9a%84ipv4%e9%80%8f%e6%98%8e%e9%9a%a7%e9%81%93%e5%bb%ba%e8%ae%be%e5%b0%9d%e8%af%95/feed/ 校园网网络管理必备的几个工具 http://blog.cost.edu.cn/james/2009/04/30/%e6%a0%a1%e5%9b%ad%e7%bd%91%e7%bd%91%e7%bb%9c%e7%ae%a1%e7%90%86%e5%bf%85%e5%a4%87%e7%9a%84%e5%87%a0%e4%b8%aa%e5%b7%a5%e5%85%b7/ http://blog.cost.edu.cn/james/2009/04/30/%e6%a0%a1%e5%9b%ad%e7%bd%91%e7%bd%91%e7%bb%9c%e7%ae%a1%e7%90%86%e5%bf%85%e5%a4%87%e7%9a%84%e5%87%a0%e4%b8%aa%e5%b7%a5%e5%85%b7/#comments Thu, 30 Apr 2009 01:44:38 +0000 james http://blog.cost.edu.cn/james/?p=16 1. 设备配置文件跟踪软件
    建议使用开源的rancid,他可以自动把各个设备的配置文件取回来,保存在cvs库中,并把变动部分的diff发邮件给管理员。
   我在使用时,结合git,利用git来记录修改的注释信息,手工填写注释说明后,手工提交修改到git。

2.  流量监视软件
    mrtg cacti之类的。

 3. 设备状态监视
    windows下what’s up很好用。

4. 排错工具
    pingplotter之类的。Linux下可以用mtr,最新的支持IPv6。

]]> http://blog.cost.edu.cn/james/2009/04/30/%e6%a0%a1%e5%9b%ad%e7%bd%91%e7%bd%91%e7%bb%9c%e7%ae%a1%e7%90%86%e5%bf%85%e5%a4%87%e7%9a%84%e5%87%a0%e4%b8%aa%e5%b7%a5%e5%85%b7/feed/ 多view的DNS服务器配置文件组织 http://blog.cost.edu.cn/james/2009/04/01/%e5%a4%9aview%e7%9a%84dns%e6%9c%8d%e5%8a%a1%e5%99%a8%e9%85%8d%e7%bd%ae%e6%96%87%e4%bb%b6%e7%bb%84%e7%bb%87/ http://blog.cost.edu.cn/james/2009/04/01/%e5%a4%9aview%e7%9a%84dns%e6%9c%8d%e5%8a%a1%e5%99%a8%e9%85%8d%e7%bd%ae%e6%96%87%e4%bb%b6%e7%bb%84%e7%bb%87/#comments Wed, 01 Apr 2009 06:57:05 +0000 james http://blog.cost.edu.cn/james/?p=9 多view的DNS服务器,如果没有合理安排配置文件,会存在很多冗余的数据,修改起来重复工作太多,很容易出错.通过合理的安排配置文件,可以最大程度减少冗余,方便管理. 下面以ustc.edu.cn有3个view的服务器来
说明配置文件的组织.

1. 文件acl.cernet,内容为
acl “CERNET” {
  58.154.0.0/15;
  58.192.0.0/12;
  59.64.0.0/12;
  116.13.0.0/16;

};

2.  文件acl.chinanet,内容为
acl “CHINANET” {
58.30.0.0/15;
58.32.0.0/11;
58.66.192.0/18;

};

3. 文件/etc/named.common.conf,存放named.conf中每个view公共的东西,内容为
zone “.” IN { type hint; file “named.ca”; };
zone “localdomain” IN { type master; file “localdomain.zone”; allow-update { none; }; };
zone “localhost” IN { type master; file “localhost.zone”; allow-update { none; }; };
zone “0.0.127.in-addr.arpa” IN { type master; file “named.local”; allow-update { none; }; };
zone “0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa” IN { type master; file “named.ip6.local”; allow-update { none; }; };
zone “255.in-addr.arpa” IN { type master; file “named.broadcast”; allow-update { none; }; };
zone “0.in-addr.arpa” IN { type master; file “named.zero”; allow-update { none;}; };

zone “64.38.202.IN-ADDR.ARPA” in{type master; file “revs/named.202.38.64.rev”;};

4. 文件/etc/named.conf,主要内容为


include “/var/named/acl.cernet”;
include “/var/named/acl.chinanet”;

view “CERNET” {
match-clients { CERNET;};
include “/etc/named.common.conf”;
zone “ustc.edu.cn” in{type master; file “zones/cernet.named.ustc.edu.cn.zone”;};
};

view “CHINANET” {
match-clients { CHINANET;};
include “/etc/named.common.conf”;
zone “ustc.edu.cn” in { type master; file “zones/chinanet.named.ustc.edu.cn.zone”;};
};

view “Other” {
match-clients { any;};
include “/etc/named.common.conf”;
zone “ustc.edu.cn” in { type master; file “zones/other.named.ustc.edu.cn.zone”;};
};

5. 文件common.named.ustc.edu.cn.zone,存放所有view完全一样的东西,内容为
@      IN      SOA    ns.ustc.edu.cn. james.ustc.edu.cn. (
        812
        1200      ; refresh (20 min )
        300      ; retry (5 min)
        7200    ; expire (2 hour)
        600      ; minimum (10 min)
        )
        IN      NS      ns.ustc.edu.cn.
        IN      NS      mx.ustc.edu.cn.

; 重要服务器
ns              IN      A      202.38.64.1
mx              IN      A      202.38.64.56

msclub          CNAME  revproxy
job            CNAME  revproxy
www.job        CNAME  revproxy

6. 文件cernet.named.ustc.edu.cn.zone,存放CERNET view的信息
$INCLUDE common.named.ustc.edu.cn.zone
revproxy        IN      A      202.38.64.246
bbs            IN      A      202.38.64.3

7. 文件chinanet.named.ustc.edu.cn.zone,存放ChinaNET view的信息
$INCLUDE common.named.ustc.edu.cn.zone
revproxy        IN      A      218.22.21.25
bbs            IN      A      202.141.160.3

8. 文件othernet.named.ustc.edu.cn.zone,存放Other view的信息
$INCLUDE common.named.ustc.edu.cn.zone
revproxy        IN      A      218.104.71.173
bbs            IN      A      218.104.71.174

这样组织以后,每次修改数据,必须要修改common.named.ustc.edu.cn.zone中的序列号. ]]> http://blog.cost.edu.cn/james/2009/04/01/%e5%a4%9aview%e7%9a%84dns%e6%9c%8d%e5%8a%a1%e5%99%a8%e9%85%8d%e7%bd%ae%e6%96%87%e4%bb%b6%e7%bb%84%e7%bb%87/feed/