someday 1 Опубликовано: 2010-07-22 18:18:28 Share Опубликовано: 2010-07-22 18:18:28 Подскажите, как отбиться, от некоторых пользователей было один раз такое: Вывод tcpdump: 000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024 000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024 000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024 000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024 000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024 000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024 000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024 000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024 000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024 000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024 000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024 000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain] 000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463 000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024 000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024 000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024 000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024 000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024 000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204 000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024 000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024 000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024 000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024 000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024 000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024 000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024 000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024 000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024 000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024 000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024 000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024 000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024 000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024 000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024 Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно. Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного. По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой), но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару антивирус и аутпост, мне вежливо почему-то отказывали . Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых. Хотел сначала добавить на пользователя : iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix "LIMIT :" iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP Но для данного примера это не поможет, и лучше думаю будет следующие: iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP Поможет ли это? Ось gentoo, iptables 1.4.3, kernel 2.6.30. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-07-22 19:34:22 Share Опубліковано: 2010-07-22 19:34:22 А почему просто не делать что-то сродни порезке сессий или вообще не отключать до устранения? Под предлогом угрозы нормальной работы сети. Как вариант - "умные свитчи" - типа блочат вас нехороших, чё-то вы там делаете... может вам к УТ уйти? Ссылка на сообщение Поделиться на других сайтах
someday 1 Опубліковано: 2010-07-23 15:08:46 Автор Share Опубліковано: 2010-07-23 15:08:46 А почему просто не делать что-то сродни порезке сессий или вообще не отключать до устранения? Под предлогом угрозы нормальной работы сети. Как вариант - "умные свитчи" - типа блочат вас нехороших, чё-то вы там делаете... может вам к УТ уйти? На умные свичи пока денег нет, отключать тоже можно без проблем. Но допустим меня в данный момент нет в серверной, и смогу там быть только через 5-6 часов, нужно чтобы хоть как-то работала связь. Просто хочу хоть какую-то минимальную защиту сделать. Был бы у меня этот "инфицированый" комп, можно было бы попробывать разные правила поставить в файерволе, а так фиг его знает, наставил кучу правил а будет ли работать... Попутно вопрос, а чем можно сгенерировать подобный трафик, если софт какой-нибудь для этого? Ссылка на сообщение Поделиться на других сайтах
nekto 0 Опубліковано: 2010-07-23 17:13:32 Share Опубліковано: 2010-07-23 17:13:32 Попутно вопрос, а чем можно сгенерировать подобный трафик, если софт какой-нибудь для этого? Запросто/очень просто. Если действительно, после звонка пользователю, подобные вещи прекращаются - какой-то "мего" хакер скачал подобную программу и пробует на крепость шлюзы провайдера. Я бы просто отслеживал сигнатуры атаки. Посмотреть в какие моменты проходит атака (после включения или в определенное время и т.п) + дальнейшее отключение от сети "мега" хакера (в случае если нет закономерности). А так практически любой firewall сможет отсечь подобный трафик. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас