NET-CREATOR Posted June 22, 2015 Posted June 22, 2015 (edited) Приветствую коллеги. Не так давно участилось блокирование сервисов google для одного или более внешних IP адресов используемых для NAT. Каждая белая IP обслуживает 60 хостов. Очевидно, что проблема кроется в пользовательских вирусах, но даже если зараза у одного-двух пользователей - страдает весь пул. Подскажите, существует ли метод борьбы с подобной проблемой помимо раздачи белых IP каждому. Благодарю. Edited June 22, 2015 by NET-CREATOR
NET-CREATOR Posted June 22, 2015 Author Posted June 22, 2015 (edited) Уже после создания в похожих темах наткнулся на тему но по факту пару страниц и никакого конкретного совета. Солянка из этого всего: 1. Использовать рут dns; 2. Резать 25-тый порт; 4. Выпускать не более /26 через один адрес; 3. Заполнить анкету в которой указать гуглу количество людей за IP. Что из этого действительно эффективно? Мы изначально выбрали /26 из этих соображений, но не помогло. Где найти мифическую анкету? Edited June 22, 2015 by NET-CREATOR
АНТИдемпинг Posted June 22, 2015 Posted June 22, 2015 вирішили: абонентів за НАТ-ом розділили на більшу кількість реальних ІР-шників на своєму ПК юзаю ДНС гугла - теж іноді запитує "цифри" для "підтвердження" хтось юзає https://dns.yandex.uaяк альтернативний ДНС?
Ромка Posted June 22, 2015 Posted June 22, 2015 вирішили: абонентів за НАТ-ом розділили на більшу кількість реальних ІР-шників на своєму ПК юзаю ДНС гугла - теж іноді запитує "цифри" для "підтвердження" хтось юзає https://dns.yandex.uaяк альтернативний ДНС? Разве такая большая проблема в сети поставить bind ?
Phsm Posted June 22, 2015 Posted June 22, 2015 Думаю, ДНС тут не причём: режутся же запросы на вебсервис. Думаю, хорошим решением будет логать SYN-ы (грубо говоря, коннекты к сайту) к адресам google.com, и по крону парсить логи раз в минуту. Тем, кто коннектился более 30 раз за минуту (обычный человек же не гуглит раз в 2 секунды, верно?) - редиректить на полчаса гугловые адреса на страницу-заглушку, где будет объяснено что мол скорее всего у вас вирус, проверьтесь антивирусом и так далее. Будет страдать только виновник, а не все адреса за этим внешником.
masters Posted June 22, 2015 Posted June 22, 2015 Уже после создания в похожих темах наткнулся на тему но по факту пару страниц и никакого конкретного совета. Солянка из этого всего: 1. Использовать рут dns; 2. Резать 25-тый порт; 4. Выпускать не более /26 через один адрес; 3. Заполнить анкету в которой указать гуглу количество людей за IP. Что из этого действительно эффективно? Мы изначально выбрали /26 из этих соображений, но не помогло. Где найти мифическую анкету? Все пункты правильно. Когда Вам выдаст капчу, на этой же странице будет ссылка на анкету. Еще очень советую прописать на этих адресах бэкрезолв типа: nat-1.youprovider.com. Тогда можно и анкету не заполнять (хотя если вылезло, то лучше заполнить). Мне помогло.
АНТИдемпинг Posted June 22, 2015 Posted June 22, 2015 (edited) Все пункты правильно. Когда Вам выдаст капчу, на этой же странице будет ссылка на анкету. Раньше анкету выдавало, я заполнял несколько раз. Последнее время анкету не предлагает, а только инфа: что я мешаю и т.д. и .тп. Edited June 22, 2015 by potapenko_serg
Sоrk Posted June 23, 2015 Posted June 23, 2015 (edited) к пунктам http://local.com.ua/forum/topic/75331-nat-google/?p=784360 можно добавить еще периодический запуск SNORT на NAS-серверах (или зеркальном трафике), сбор событий из группы [1:xxxx:yyyy] и перенос зараженных пользователей на карантинный внешний IP с уведомлением + проверка своих адресов в списках RBL (http://mxtoolbox.com/blacklists.aspx) Выглядит отчет из SNORT может так: 06/23-13:28:37.118026 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51448 -> 69.164.203.105:447 06/23-13:28:57.328870 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51450 -> 69.164.203.105:447 06/23-13:28:57.897017 [**] [1:27247:2] BLACKLIST DNS request for known malware domain restless.su - Gamarue Trojan [**] [Classification: A Network Trojan was Detected] [Priority: 1] {UDP} 10.8.1.126:4262 -> 8.8.4.4:53 06/23-13:29:00.677567 [**] [1:30796:1] MALWARE-CNC Win.Trojan.Mudrop variant outbound connection [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.135:49617 -> 70.186.131.158:80 06/23-13:28:37.118026 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51448 -> сбор статистики обращений похоже ничего не дает, любой сервис гугла запускается через любой их адрес, то что сегодня поиск или gmail, завтра легко может быть youtube. форма была раньше тут https://support.google.com/websearch/contact/ban но теперь похоже её нет. Edited June 23, 2015 by Sоrk
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now