Otevřený DNS port na zákaznickém modemu způsobil chaos

Otevřený DNS port na zákaznickém modemu způsobil chaos

Název

Přidělování veřejných IP adres zákazníkům nese závažná rizika. Pokud je DNS port otevřený směrem do internetu, může vést k reflexnímu DDoS útoku, který následně zatěžuje síť poskytovatele.

Situace

Je deštivá neděle večer a většina domácností sleduje televizi nebo Netflix. Právě v tu chvíli začíná internetové připojení kolísat a nakonec zcela vypadne.

Zákaznická linka regionálního ISP je přetížená. Stovky zákazníků volají rozhořčeně operátorům a žádají okamžité vyřešení výpadku.

Výzva

Síťový administrátor opouští večeři s rodinou a okamžitě začíná pracovat na nápravě.

Navzdory podrobné analýze SNMP telemetrie v Zabbixu se mu však nedaří najít příčinu problému.

Majitel firmy si uvědomuje, že pokud se něco podobného zopakuje o víkendu znovu, přijdou o zákazníky.

    Řešení

    Síťový administrátor přechází na analýzu datového provozu pomocí NetFlow.

    ISP měl nasazený NetFlow export na všech core routerech

    Data byla průběžně odesílána do centrálního kolektoru se softwarem FLOWCUTTER

    FLOWCUTTER se kromě jiného zaměřuje na detekci odchozích útoků, mezi nimi i DNS reflection útoků, které probíhají přes síť poskytovatele.

    Právě ten byl identifikován – zdrojem byla zákaznická veřejná IP adresa. Zákazník omylem provedl tovární reset modemu s RouterOS, čímž se otevřel servisní port do internetu a zároveň zůstalo výchozí (slabé) heslo nezměněné.

    Další analýza ukázala, že zařízení bylo kompromitováno a stalo se součástí botnetu, který byl použit k DNS reflexním DDoS útokům.

    Administrátor následně IP adresu zablokoval a tím útok zastavil. Se zákazníkem se telefonicky spojil a problém společně vyřešili.

    Zároveň nastavil denní skenování otevřených portů, aby byl podobný incident příště detekován včas. Příště už bude připraven.

    Výsledek

    Pojďme si projít NetFlow analýzu v době incidentu.

    Útok byl jasně patrný při filtrování odchozího provozu ze zdrojového portu 53. Tento port je standardně vyhrazen pro DNS resolving a odpovědi by měly pocházet výhradně z DNS resolverů.

    Přestože objem útoku byl jen 25 Mb/s, v kontextu agregovaného provozu ISP zůstal zcela neviditelný pro běžné monitorovací nástroje. Právě proto nebyl detekován ani zastaven dříve.

    Útočící IP vykazovala známky DNS požadavků ze zahraničí – jednalo se o falešné dotazy využívané pro zesílení útoku.

    Detailní rozbor potvrdil, že anomálie byla přímo spojená s DNS.

    Díky pravidelnému skenování portů ve FLOWCUTTER bylo možné odhalit, že se problém odehrál na zákaznické síti.

    V blízké budoucnosti bude navíc FLOWCUTTER umět detekovat DNS reflection útoky zcela automaticky, bez nutnosti zásahu síťového týmu.

     

    Zdroje

    • NetFlow analýza ve FLOWCUTTER
    • Skenování otevřených portů
    • SNMP vs. Flow telemetrie
    • Detekce odchozích DNS reflection útoků

    Závěr

    Otevřené DNS porty na zákaznických IP adresách mohou vést k reflexním DNS útokům, které vycházejí z infrastruktury ISP. Výsledkem je přetížení sítě, výpadky a nespokojenost zákazníků.

        • Takové útoky nelze spolehlivě odhalit pomocí SNMP telemetrie
        • NetFlow data poskytují hlubší vhled do vzorců síťového provozu – a umožňují rychle odhalit anomálie
        • Denní skenování portů je klíčové pro včasné varování a prevenci

     

    Problém byl vyřešen, zákazníci opět spokojeně surfují.

    Zkušenost zákazníka

    „Není to příjemné sledovat, jak se síť rozpadá, a přitom netušíte proč. FLOWCUTTER nám pomohl odhalit hlavní příčinu – otevřené DNS porty – a identifikovat konkrétní zákaznické zařízení.

    Příště budeme proaktivní a odhalíme problém dříve, než zasáhne další zákazníky.“

    František Čihák

    Fiber Network Services

    „Během víkendu jsme zaznamenali opakující se výpadky služby. SNMP telemetrie nic neukázala.FLOWCUTTER nám umožnil odhalit reflexní amplifikační DDoS útok.

    V pondělí naše síť opět fungovala bezchybně.“

    Lukas Vacek

    Viridium

    Když došlo k útoku typu SYN Flood, poskytovatel internetu se rozhodl jednat proaktivně.

    Když došlo k útoku typu SYN Flood, poskytovatel internetu se rozhodl jednat proaktivně.

    Název

    Kobercové bombardování mnoha ISP odhalilo rozdíly mezi reaktivním a proaktivním přístupem.

    Situace

    V květnu 2025 došlo k sérii DoS (Denial of Service) útoků, které byly zaměřeny na stovky evropských poskytovatelů internetu. Útoky měly podobu TCP SYN Flood a cílily na celé IP rozsahy operátorů – nikoli pouze na jednu IP adresu nebo jednu službu. Délka jednotlivých incidentů se pohybovala mezi 2 a 40 minutami. Útoky se však opakovaly několikrát denně po několik dní v řadě.

    Během útoků byly páteřní (CORE) routery zahlceny množstvím příchozích pokusů o navázání spojení, což vedlo k výpadkům internetu pro celou zákaznickou základnu daného operátora.

    Výzva

    Většina poskytovatelů internetu se rozhodla útok prostě „přečkat“ s nadějí, že si jejich zákazníci nebudou příliš stěžovat. Někteří se ale rozhodli útoku porozumět a být připraveni na příště.

    Problém spočívá v tom, že běžné monitorovací nástroje používané v NOC (Network Operations Center), jako například Zabbix postavený na SNMP, neobsahují potřebné signály pro odhalení klíčových informací:

    • Kdo je útočník
    • Jaká metoda útoku byla použita
    • A tím pádem chybí i „munice“ pro efektivní zmírnění útoku

    Co s tím?

    Řešení

    Právě v takových situacích přicházejí vhod data z NetFlow. Analýza NetFlow dat a detekce anomálií pomocí FLOWCUTTERu je ideálním řešením tohoto problému.

    Zákazníci, kteří exportovali NetFlow data ze svých páteřních (CORE) routerů do FLOWCUTTERu, byli schopni útok zanalyzovat a snadno ho zmírnit.

    Výsledek

    Podívejte se na zjištění z tohoto konkrétního případu DoS útoku.

    Operátor byl schopen zaznamenat anomálii v počtu pokusů o připojení (toků za sekundu).

    Jejich počet během útoku vzrostl na desetinásobek běžného provozu před útokem.

    Když operátor přiblížil časový úsek, ve kterém došlo k anomálii, byl schopen jasně rozpoznat vektor útoku.

    Útok pocházel z AS 202425 se sídlem v Nizozemsku a za záplavu spojení byly zodpovědné čtyři IP adresy. Byl také odhalen způsob útoku: SYN Flood z několika málo zdrojových portů.

    Poskytovatel internetu zmírnil následný útok buď odmítnutím veškerého provozu z daného AS, nebo zablokováním připojení z konkrétních IP adres.

    Je však důležité poznamenat, že i když v tomto případě nebyla informace o zdrojových portech nezbytná pro mitigaci, v případě distribuovaného DDoS útoku by právě zdrojový port mohl být klíčovým prvkem pro mitigaci pomocí BGP Flowspec.

    Zdroje

    • Analýza NetFlow v Grafaně

    • Obohacení o informace o zemi a ASN

    • Detekce (D)DoS útoků na základě toků (Netflow)

    Závěr

    Poskytovatelé internetu, kteří zvolili proaktivní přístup, byli schopni rychle a jednoduše určit, kdo na ně útočil a jak. Díky tomu je další vlna útoků vůbec nezasáhla.

    Poskytovatelé s reaktivním přístupem museli útok prostě přečkat.

    Zkušenost zákazníka

    Když nás tento útok poprvé zahltil způsobil krátký výpadek sítě. Ale s FLOWCUTTERem jsme byli schopni rychle identifikovat útočníka a mitigovat útok.

    Michael Hendrych

    LMnet

    Kam Kráčí Digitální sítě 2025, Olomouc

    Kam Kráčí Digitální sítě 2025, Olomouc

    Czech Republic, Olomouc, 2025 Duben

    Kam kráčí digitální sítě je tradiční odborná konference pro poskytovatele internetu, provozovatele sítí i zástupce veřejné správy. Věnuje se technologiím, regulaci, bezpečnosti a budoucnosti digitální infrastruktury v Česku.

    V naší přednášce jsme otevřeli téma analýzy rizik v telekomunikační síti“ v kontextu NIS2. Zaměřili jsme se na to, jak získat reálný přehled o chování sítě, jak automaticky identifikovat zranitelnosti a jak tyto informace využít pro efektivní rozhodování v provozu i bezpečnosti.

    prezentace na  KKDS Olomouc, 2025

    Ukázali jsme, že FLOWCUTTER není jen monitorovací nástroj – ale platforma, která pomáhá vrátit provozovatelům kontrolu nad sítí, vytvořit auditní stopu a posílit důvěru u zákazníků i regulátora.

    Z konference si odnášíme řadu cenných podnětů. Téma bezpečnosti, měření a transparentního provozu rezonuje napříč oborem – a těší nás, že FLOWCUTTER v tomto směru nachází konkrétní uplatnění.

    Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

    Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
    FLOWCUTTER
    NÁSTROJ „K OBRAZU SVÉMU“
    Odhalení útoku na OT síť přes infikované routery ISP

    Odhalení útoku na OT síť přes infikované routery ISP

    Název

    Jak kompromitované routery ISP mohou odhalit útoky na OT sítě

    Situace

    Tato případová studie popisuje reálný kybernetický incident, který se může odehrát v moderních firemních sítích.

    Jedna firma zaznamenala výpadky sítě a zhoršení výkonu, což mělo výrazný dopad na jejich výrobní síť typu OT (Operational Technology). Útočník pronikl do sítě skrze infrastrukturu poskytovatele internetu (ISP) a postupně se přiblížil k průmyslovým řídicím systémům a centrální databázi organizace.

    Průběh útoku

    • Fáze průzkumu: Útočník použil taktiku „spray and pray“ – náhodné skenování velkého počtu cílů za účelem nalezení zranitelností. Automatizované nástroje prohledávaly veřejné IP rozsahy a hledaly služby jako vzdálená správa (SSH, Winbox, Telnet), zastaralé webové aplikace a síťová zařízení.

      (Obrázek: MITRE ATT&CK® matice – vizualizace fází útoku)

    Picture: MITRE ATT&CK® Matrix: visualization of attack phases



    • Počáteční přístup: ISP provozoval zařízení založená na RouterOS. Jedno z těchto zařízení bylo kompromitováno kvůli zranitelnosti v zastaralém firmwaru. Útočník zneužil zranitelnost CVE-2022-45315, která umožňuje neoprávněné spuštění kódu pomocí speciálně vytvořených SNMP paketů. Tím získal přístup do jádra sítě ISP, mohl spouštět příkazy na dálku a vytvořit trvalý přístup.

    • Eskalace práv a udržení přístupu: Útočník využil slabá hesla a chybně nastavená oprávnění, nasadil vlastní skripty, které zajistily přístup i po restartu systému.

    • Postupné šíření: Infikovaný router ISP začal hrubou silou útočit na služby Telnet, SSH a Winbox v dalších zařízeních. Útočník mapoval vnitřní síť ISP a hledal routery, firewally a podniková hraniční zařízení vhodná k dalšímu zneužití.

    (Obrázek: MITRE ATT&CK® matice – vizualizace fází útoku)

    Picture: MITRE ATT&CK® Matrix: visualization of attack phases



    • Kompromitace podnikové sítě: Útočník ovládl hraniční router firmy a navázal spojení se servery Command & Control (C2). K maskování aktivity používal DNS tunelování a šifrované HTTP požadavky, které běžné firewally nedokázaly detekovat.
    • Vniknutí do OT sítě: Útočník se pokusil proniknout do výrobní OT sítě. Zahájil útoky hrubou silou na databázové servery a prováděl pomalé, cílené skenování OT segmentů. Vyhledával zranitelná zařízení.

      V tomto bodě byl útok detekován díky objemové analýze netflow dat. Došlo k zásahu dříve, než k úplnému průniku. Systémy detekce narušení (IDS) začaly generovat abnormální množství logů, což spustilo upozornění. Síťoví administrátoři útok zablokovali a dočasně izolovali napadenou síť, čímž zabránili větším škodám.

      Výzva

      Útoky tohoto typu je obtížné detekovat, protože:

      • Firewall monitoring selhal – útočník využíval důvěryhodnou infrastrukturu ISP k postupu v síti.
      • Nepřítomnost EDR (Endpoint Detection and Response) na všech systémech omezila možnosti forenzní analýzy.
      • Aktivita v OT síti zůstala téměř neodhalitelná, protože byla postupná a probíhala z důvěryhodných zařízení.

        Řešení

        • Nasazení analýzy netflow dat na úrovni ISP pomohlo odhalit abnormální vzory v provozu.

          • Klíčem k včasné detekci je korelace více datových zdrojů:

            • Netflow data
            • Výsledky skenování zranitelností
            • Logy z IDS systémů
            • Reputace IP adres a threat feedy
            • DNS telemetrie

            Netflow data pomohla zpětně rekonstruovat incident a rozhodnout, jak zlepšit bezpečnostní strategii.

            Úklid po útoku zahrnoval:

            • Lepší segmentaci a izolaci síťových zařízení
            • Aktualizaci všech infikovaných zařízení
            • Pravidelný monitoring infrastruktury ISP i firemní sítě, včetně skenů zranitelností a kontroly aktualizací

            Výsledek

            Díky pokročilé síťové analýze, korelaci dat a proaktivnímu monitorování bezpečnostní týmy odhalily útok ještě před tím, než byly ohroženy kritické OT systémy.

            Tato případová studie zdůrazňuje důležitost spolupráce mezi ISP a firmami při posilování kybernetické obrany.



              Zdroje

              Analýza netflow v Grafaně

              • Detekce anomálií
              • Obohacení provozních toků o IP reputaci
              • Skenování zranitelností
              • Integrace DNS bezpečnostních dat
              • Integrace IDS logů do Grafany

              Závěr

              Monitoring firewallu nestačí – netflow data poskytují hlubší vhled do síťového provozu.

              Proaktivní bezpečnostní opatření na úrovni ISP mohou zastavit šíření útoků.

              Segmentace sítě a korelace více zdrojů logů zvyšuje šanci na detekci.

              Útoky často zneužívají nejslabší článek – v tomto případě zranitelnosti v infrastruktuře ISP.



              CSNOG 2025, Zlín

              CSNOG 2025, Zlín

              Czech Republic, Zlín, 2025 Leden

              CSNOG (Czech and Slovak Network Operators Group) je každoroční konference zaměřená na setkávání správců sítí, poskytovatelů internetových služeb a odborníků z oblasti telekomunikací z České a Slovenské republiky. Hlavním cílem je sdílení zkušeností, diskuse o aktuálních trendech, řešení problémů v síťové infrastruktuře a prezentace nových technologií. Akce zahrnuje přednášky, panelové diskuze a praktické případové studie.

              Na konferenci CSNOG 2025, která se konala 21.–22. ledna na Univerzitě Tomáše Bati ve Zlíně, jsme jako tým FLOWCUTTER představili naši přednášku na téma „Analýza kořenových příčin – přínosy kombinace Flow dat s SNMP, OTel a dalšími logy“. Zaměřili jsme se na praktické ukázky, jak lze efektivně předcházet síťovým problémům díky kombinaci různorodých datových zdrojů.

              prezentace na  CSNOG, 2025

              Klíčová témata naší přednášky:

              Případové studie:

              #1: Skrytý DDoS útok
              Pomocí analýzy Flow dat jsme odhalili distribuovaný DDoS útok, který tradiční SNMP monitoring nezachytil. Díky rychlé reakci jsme předešli eskalaci problému a ochránili zákazníka před vážnými následky.

              #2: Kompromitovaná IP kamera
              Malá anomálie v síťovém provozu odhalila kompromitovanou domácí kameru, která způsobila blacklistování celého /22 prefixu. Tento případ ukázal, jak rychle může eskalovat zdánlivě nevinný bezpečnostní incident.

              Hlavní zjištění:

              – Kombinace datových zdrojů jako NetFlow, SNMP, OTel a dalších logů umožňuje komplexní pohled na síť.
              – Automatizované skenování otevřených portů a včasná detekce anomálií šetří čas techniků i reputaci ISP.
              – Prevence je vždy efektivnější než reaktivní řešení problémů.

              Co si odnést?

              Efektivní troubleshooting není jen o řešení následků, ale především o prevenci. Investice do nástrojů pro analýzu kořenových příčin, jako je FLOWCUTTER, se vrací v podobě spokojených zákazníků a stabilních sítí.

              Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

              Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
              FLOWCUTTER
              NÁSTROJ „K OBRAZU SVÉMU“