The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Зафлудили natd... Как бороться? HELP!!!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Psy emailИскать по авторуВ закладки on 04-Дек-03, 13:21  (MSK)
Народ, объявился в сети один хост, который флудит echoreqst-ами natd, по всей видимости у клиента работает какой-то sobig, в результате натд занимает все процессорные ресурсы и в сеть больше пройти не может никто. Пришлось отрубить его через ipfw, причем помогло только
ipfw add deny all from 192.168.10.23 to any.
Вот что показывает trafshow от этого hosta- а:
=
192.168.10.23..echoreqst                   61.161.226.216                             icmp                92 18
192.168.10.23..echoreqst                   61.161.229.166                             icmp                92
192.168.10.23..echoreqst                   61.161.229.167                             icmp                92
192.168.10.23..echoreqst                   61.161.229.168                             icmp                92
192.168.10.23..echoreqst                   61.161.229.169                             icmp                92
192.168.10.23..echoreqst                   61.161.229.170                             icmp                92

Конечно с это проблемой мы справимся, но вот вопрос.. как сделать так, чтобы в дальнейшем такая проблема не вставала, то есть чтобы флуд такого рода сразу присекался и чтобы сетка не подвешивалась...???

Подскажите, плиз ...
Заранее благодарен..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 04-Дек-03, 13:22  (MSK)
Хе это вирус блин!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Psy emailИскать по авторуВ закладки on 04-Дек-03, 13:31  (MSK)
>Хе это вирус блин!


Сам знаю, что вирус... как со флудом ната бороться?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 04-Дек-03, 13:46  (MSK)
Что значит как, убиваешь вирус и все
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Andr emailИскать по авторуВ закладки on 04-Дек-03, 13:51  (MSK)
>Конечно с это проблемой мы справимся, но вот вопрос.. как сделать так,
>чтобы в дальнейшем такая проблема не вставала, то есть чтобы флуд
>такого рода сразу присекался и чтобы сетка не подвешивалась...???

Настроить ipfw по минимуму. Разрешить только необходимое. Полностью проблему не решишь, но большинство флуда отрежет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Psy emailИскать по авторуВ закладки on 04-Дек-03, 14:04  (MSK)
да, но что значит самое необходимое?
во-первых... какие порты следует оставить открытыми для домашней сети, прошу привести перечень кроме
80,
8080,
3128
20
21
22
...
Во вторых нат зафлудило icmp пакетами или echorecuest -ми, вот как сделать так, чтобы огрничить возможное количество поступающих пакетов такого рода на сервер??

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Antonio emailИскать по авторуВ закладки on 04-Дек-03, 14:17  (MSK)
>да, но что значит самое необходимое?
>во-первых... какие порты следует оставить открытыми для домашней сети, прошу привести перечень
>кроме
>80,
>8080,
>3128
>20
>21
>22
>...

25 (smtp, если только у вас не собственный почтовик),
110 (pop3),
143 (imap),
119 (news),
443 (https),
5190 (icq, либо заворачивать ее в squid).

Хе, для домашней... Тогда еще файлообменки: для ословодов 4662, 4663, 4665. Что для казаа, без понятия.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 04-Дек-03, 14:32  (MSK)
А как насчет  993,  995 ?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Antonio emailИскать по авторуВ закладки on 04-Дек-03, 14:48  (MSK)
>А как насчет  993,  995 ?

А юзера знают, для чего эти порты? ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от vadblm emailИскать по авторуВ закладки on 04-Дек-03, 16:52  (MSK)
53
или DNS уже никому не нужен? :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от Andr emailИскать по авторуВ закладки on 05-Дек-03, 09:56  (MSK)
Еще имеет смысл почитать вот это:
http://www.opennet.dev/tips/info/277.shtml

и это:
http://www.opennet.dev/tips/info/276.shtml

вот тут на английском:
http://www.cymru.com/Documents/ip-stack-tuning.html

В общем, по этому вопросу достаточно много в сети понаписано, поискать только надо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Зафлудили natd... Как бороться? HELP!!!"
Сообщение от artist emailИскать по авторуВ закладки on 07-Дек-03, 23:29  (MSK)
мона поставить snort и snortsam, они в связке умеют перекрывать автоматов "нехорошую" деятельность
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру