форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите, братцы, убивают"
Сообщение от Admin (??) on 05-Дек-04, 20:01  (MSK)
Следуящая проблема повторяется очень часто, как с ней бороться??? На внешнем интерфейсе tcpdump выдает следующее - 18:40:49.209134 105.17.9.254.1231 > 200.32.15.105.8061: S 920584192:920584192(0) win 16384 18:40:49.209144 105.17.9.255.1135 > 200.32.15.105.8061: S 1280180224:1280180224(0) win 16384 18:40:49.209154 105.17.10.0.1756 > 200.32.15.105.8061: S 876544000:876544000(0) win 16384 18:40:49.209164 105.17.10.1.1515 > 200.32.15.105.8061: S 233897984:233897984(0) win 16384 18:40:49.209174 105.17.10.2.1910 > 200.32.15.105.8061: S 2075131904:2075131904(0) win 16384 18:40:49.209184 105.17.10.3.1774 > 200.32.15.105.8061: S 802488320:802488320(0) win 16384 18:40:49.209194 105.17.10.4.1746 > 200.32.15.105.8061: S 1683881984:1683881984(0) win 16384 18:40:49.209204 105.17.10.5.1425 > 200.32.15.105.8061: S 1689387008:1689387008(0) win 16384 18:40:49.209214 105.17.10.6.1135 > 200.32.15.105.8061: S 2120089600:2120089600(0) win 16384 18:40:49.209224 105.17.10.7.1748 > 200.32.15.105.8061: S 942473216:942473216(0) win 16384 18:40:49.209235 10.1.0.219.2549 > 121.68.10.79.445: S 625152993:625152993(0) win 64240 <mss 1460,nop,nop,sackOK> (DF) 18:40:49.209244 105.17.10.8.1178 > 200.32.15.105.8061: S 1005191168:1005191168 т.е. каким то макаром неизвестный комп открывает кучу соединений с неизвестным компом, и все это происходит через мой роумер?? Что желать то? Система Freebsd? Кстати написал я такое правило - не помогает - ipfw add 10 deny all from any to not 192.168.1.0/24 in via rl1
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите, братцы, убивают"
Сообщение от Aleks (??) on 05-Дек-04, 20:47  (MSK)
Да нет ни какого соединения судя по логу хост 105.17.9.254 шлёт SYNC пакеты TCP хосту 200.32.15.105, а он на эти пакеты не отвечает. Кроме того tcpdump работает на канальном уровне, а ipfw фильтрует пакеты на уровне IP. Поэтому все пакеты сначала видит tcpdump, а уж затем они могут каким либо образом фильтроваться ipfw. Видно у тебя внешний адрес из одной сети с 200.32.15.105 (хотя это не обязательно), а как известно что ip пакеты передаются бродкастами в случае нахождения адресов в одной сети или на маршрутизатор (на какой - зависит от таблицы маршрутизации). Поэтому нет ни чего удивительного что слушая трафик на канальном уровне (tcpdump) ты видишь какие-то, не предназначенные тебе пакеты. Ты тут не причём и делать тебе не чего не надо.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите, братцы, убивают"
	Сообщение от Sampan on 05-Дек-04, 21:38  (MSK)
	>а как известно что ip пакеты передаются бродкастами в случае нахождения адресов в одной сети Это с каких это пор адресные IP пакеты стали передаваться бродкастами, независимо от того, в одной подсети или нет? Может ты с ARP перепутал? >слушая трафик на канальном уровне (tcpdump) Да и по поводу уровней - полная лажа. Канальный уровень - это, например, Ethernet или TokenRing. И что, tcpdump показывает заголовки и адреса MAC? Нет, он показывает флаги syn, ack, fin, rst. Все это относится к 3-му (сетевому) уровню модели OSI. У самого каша в голове, так еще и другого запутываешь..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите, братцы, убивают"
	Сообщение от Admin (??) on 05-Дек-04, 23:27  (MSK)
	В том то и дело, что во время этой атаки намертво подвисает сервер, даже невозможно работать через консоль. Нет, мой внешний интерфейс имеет совсем другой адрес, эти хосты из интернета. И я спросил как заблокировать это?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Помогите, братцы, убивают"
	Сообщение от Admin (??) on 06-Дек-04, 13:51  (MSK)
	Неужто никто не может подсказать как запретить серверу пробрасывать соединение на неизвестные хосты, кроме локалки?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Помогите, братцы, убивают"
	Сообщение от A Clockwork Orange on 06-Дек-04, 14:16  (MSK)
	Вообще то помнится что tcpdump показывает и MAC адреса.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите, братцы, убивают"
	Сообщение от A Clockwork Orange on 06-Дек-04, 15:10  (MSK)
	Вообще то помнится что tcpdump показывает и MAC адреса.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Помогите, братцы, убивают"
Сообщение от Loky on 06-Дек-04, 16:39  (MSK)
>т.е. каким то макаром неизвестный комп открывает кучу соединений с неизвестным компом, >и все это происходит через мой роумер?? Что желать то? Система >Freebsd? Кстати написал я такое правило - не помогает - >ipfw add 10 deny all from any to not 192.168.1.0/24 in via >rl1 Если правило не помогает, значит оно не работает. Включи лог на это правило и убедись что пакеты отбрасываются. Да и ваще, покажи народу свой фаервол, авось че дельное подскажем.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.