fedus 0 Опубликовано: 2010-03-23 20:27:02 Share Опубликовано: 2010-03-23 20:27:02 Всім привіт! Виручайте. Така ситуація: В мережі появився вірус який флудить на 208.43.143.144-static.reverse.softlayer.com ні як не можу файерволом його закрити. Загружає внутрішній інтерфейс на 95Мб і відповідно тупить нет. Як за допомогою ipfw можна його закрити, якщо стандартні deny ip, deny icmp не працюють ось вивід tcpdump 22:26:34.230439 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#198, length 1032 22:26:34.230536 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#72, length 1032 22:26:34.230639 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#226, length 1032 22:26:34.230736 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#226, length 1032 22:26:34.230835 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#142, length 1032 22:26:34.230935 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#229, length 1032 22:26:34.230938 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#79, length 1032 22:26:34.231035 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#169, length 1032 22:26:34.231038 IP 10.0.0.10.27005 > 81.145.34.193.static.giga-dns.com.27136: UDP, length 23 22:26:34.231135 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#58, length 1032 22:26:34.231235 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#232, length 1032 22:26:34.231335 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#171, length 1032 22:26:34.231434 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#67, length 1032 22:26:34.231534 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#38, length 1032 22:26:34.231635 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#189, length 1032 22:26:34.231638 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#207, length 1032 22:26:34.231671 IP 95.66.190.201.12776 > 10.0.0.10.50078: UDP, length 77 22:26:34.231735 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#62, length 1032 22:26:34.231835 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#241, length 1032 22:26:34.231838 IP 10.0.0.91.netbios-ns > 10.0.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 22:26:34.231934 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP address mask request, length 1032 22:26:34.232033 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#120, length 1032 22:26:34.232133 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#102, length 1032 22:26:34.232234 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#118, length 1032 22:26:34.232333 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#209, length 1032 22:26:34.232434 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#162, length 1032 22:26:34.232436 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#202, length 1032 22:26:34.232533 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#212, length 1032 22:26:34.232632 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#43, length 1032 22:26:34.232733 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#138, length 1032 22:26:34.232833 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#181, length 1032 22:26:34.232935 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#103, length 1032 22:26:34.233032 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#139, length 1032 22:26:34.233132 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#174, length 1032 22:26:34.233135 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#181, length 1032 22:26:34.233232 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#203, length 1032 22:26:34.233332 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#158, length 1032 22:26:34.233431 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#203, length 1032 22:26:34.233532 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#150, length 1032 ???????????????????????????????????????????? Ссылка на сообщение Поделиться на других сайтах
roger 12 Опубліковано: 2010-03-23 23:01:20 Share Опубліковано: 2010-03-23 23:01:20 чувак ... лови мак адресса пока есть - и иди отключай проблемных людей. + 95 на аплинке не могут из воздуха появится - смотри по портам где загрузка больше Ссылка на сообщение Поделиться на других сайтах
petrovi4 178 Опубліковано: 2010-03-23 23:16:25 Share Опубліковано: 2010-03-23 23:16:25 чувак ... лови мак адресса пока есть - и иди отключай проблемных людей. + 95 на аплинке не могут из воздуха появится - смотри по портам где загрузка больше Врядли у когото из абонентов 95 мбит на мир, а флудят то сюда: IP адрес: 208.43.143.144 Страна: United States Регион: Texas Город: Dallas Широта: 32.7825 Долгота: -96.8207 Ссылка на сообщение Поделиться на других сайтах
mih 8 Опубліковано: 2010-03-24 05:49:08 Share Опубліковано: 2010-03-24 05:49:08 Ловити клієнта треба. МАС наврядчи видно буде, кожна нова сесія швидше за все буде з новим маком, у самого було щось схоже. Кабельки відключати доки не зловиш. Ще такі питання: як часто виникає атака? яка тривалість? періоди доби виникнення? У мене атаки виникали від 8 ранку до 2-3 ночі, тривалість від 2хв до 1год. Бувало й кожен день, а інколи і раз на тиждень. Мене це сподвигло на купівлю нового сервера і налаштування ВЛАНа на кожну багатоповерхівку(вулицю) із маршрутизацією між ними через звязку сервер_Фря--транк_2Гбіт/с--світч_24_портовий_з_вланами. Якраз закінчую налаштування. Ссылка на сообщение Поделиться на других сайтах
fedus 0 Опубліковано: 2010-03-24 06:08:05 Автор Share Опубліковано: 2010-03-24 06:08:05 Аплінк взагалі тільки 20 Мбіт. Атака починається вечером і триває десь від 5хв до 2год. Підскажіть як можна це зарізати на внутрішньому інтерфейсі????? Ссылка на сообщение Поделиться на других сайтах
fedus 0 Опубліковано: 2010-03-24 08:28:28 Автор Share Опубліковано: 2010-03-24 08:28:28 up Як взагалі заборонити будь-яку активність на фрі по 208.43.143.144 ???? Ніхто хіба не стикався з подібним???? Ссылка на сообщение Поделиться на других сайтах
Zlobar 30 Опубліковано: 2010-03-24 09:25:46 Share Опубліковано: 2010-03-24 09:25:46 Як взагалі заборонити будь-яку активність на фрі по 208.43.143.144 ??? Попробуй так: route add -host 208.43.143.144 127.0.0.1 -blackhole Ссылка на сообщение Поделиться на других сайтах
fedus 0 Опубліковано: 2010-03-24 09:49:24 Автор Share Опубліковано: 2010-03-24 09:49:24 Як взагалі заборонити будь-яку активність на фрі по 208.43.143.144 ??? Попробуй так: route add -host 208.43.143.144 127.0.0.1 -blackhole неа. все одно iftop показує відправку на цю ір на швидкості 1Мбіт Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-03-24 14:48:16 Share Опубліковано: 2010-03-24 14:48:16 Вам тут правильно сказали: надо искать у кого этот вирус сидит и отключать, а вы боретесь с последствиями. Даже если Вы сделаете: ipfw add 10 deny all from any to 208.43.143.144 ipfw add 20 deny all from 208.43.143.144 to any ...от этого ведь трафик, генерируемый вирусом, не исчезнет. И будет продолжать флудить Вам сеть и мешать работе. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас