Как защитить информацию - понятно, но атаки создают трафик, который стоит денег? Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти к другому прову - не приемлемы, в силу ряда обстоятельств. Можно ли по IP-адресу определить, какому провайдеру он принадлежит?
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?При желании конечно можно, сервис whois
>При желании конечно можно, сервис whoisПробовал.
Ничего не говорит. ОН отвечает только за зоны .COM .ORG .NET etc., т.е. США. А есть что нить типа whois, только глобально по всей галактике?
>>При желании конечно можно, сервис whois
>
>Пробовал.
>Ничего не говорит. ОН отвечает только за зоны .COM .ORG .NET etc.,
>т.е. США. А есть что нить типа whois, только глобально по
>всей галактике?
www.nic.ru тебе поможет
>>При желании конечно можно, сервис whois
>
>Пробовал.
>Ничего не говорит. ОН отвечает только за зоны .COM .ORG .NET etc.,
>т.е. США. А есть что нить типа whois, только глобально по
>всей галактике?
а ты ему ip говори, и сеть указывай, например whois -h whois.ripe.net 217.168.64.0
А ты защищать собрался домашний компьютер или сервак какой?
>А ты защищать собрался домашний компьютер или сервак какой?А что? Есть принципиальная разница?
>А что? Есть принципиальная разница?
Принципиальной разници вообщем нет, но подходы к защите серваков отличаются от защиты десктопов. (Хотя не всегда).
Просто возникла ситуация.
Есть комп, который постоянно подключен к сети. Оплата по входящему трафику. Тут, появляется кулхацкер, и начинает в течение N часов сканировать порт (какую цель он преследовал - неизвестно).
Мой файрволл пресекал эти атаки, но шлюз, через который данный комп подключен к паутине, говорит: "Мне сугубо фиолетово, что ты с этим пакетом сделал. Но он черезменя прошел, значит входящий трафик у тебя есть." Провайдер говорит, что это мои проблемы и его не касаются. Физически отключить машину от сети - вариант не приемлем.
>Просто возникла ситуация.
>Есть комп, который постоянно подключен к сети. Оплата по входящему трафику. Тут,
>появляется кулхацкер, и начинает в течение N часов сканировать порт (какую
>цель он преследовал - неизвестно).
>Мой файрволл пресекал эти атаки, но шлюз, через который данный комп подключен
>к паутине, говорит: "Мне сугубо фиолетово, что ты с этим пакетом
>сделал. Но он черезменя прошел, значит входящий трафик у тебя есть."
>Провайдер говорит, что это мои проблемы и его не касаются. Физически
>отключить машину от сети - вариант не приемлем.
Это же ненормальный траффик. Тебе нужна система обнаружения вторжения, например portsentry или snort. Включи блокирование, только осторожнее с настройками, а то сам себе гадостей можешь наделать.
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?
А что, сканирование дает большой траффик?
> А что, сканирование дает большой траффик?
Смотря как сканировать, если весь день, то я думаю не маленький.
>> А что, сканирование дает большой траффик?
>
>
>Смотря как сканировать, если весь день, то я думаю не маленький.
Только вот не могу понять почему ты подумал что должны сканировать целый день? Вообще если некто Х просканировал некий ip и не найдя ничего интиресного благополучно скроется...если только кто-то замутит злонамеренный флуд на некий ip. ИМХО За месяц от всех этих сканов трафика набежит мега 2-3...что вообщем-то не очень важно....
>>> А что, сканирование дает большой траффик?
>>
>>
>>Смотря как сканировать, если весь день, то я думаю не маленький.
>Только вот не могу понять почему ты подумал что должны сканировать целый
>день? Вообще если некто Х просканировал некий ip и не найдя
>ничего интиресного благополучно скроется...если только кто-то замутит злонамеренный флуд на некий
>ip. ИМХО За месяц от всех этих сканов трафика набежит мега
>2-3...что вообщем-то не очень важно....Да что Вы говорите, а я сталкивался с такой же проблемой и речь шла не о 2-3 мегах как ты говоришь а 200-500 Mb да ещё и зарубежного траффика, а у меня всего 500 Mb зарубежа было. И к тому же не за месяц, а меньше чем за неделю! Просто у атакующего был не хилый канал по скорости и мой маленький в 128 Kb вообще ложил нафиг, да так что и страничка открывалась по несколько минут в локалке, так что тема актуальна=> Действительно, что делать если на тя начались такие массированные атаки, а прову на это дело побоку и к другому уйти проблематично?
>...если только кто-то замутит злонамеренный флуд на некий
>ip. ИМХО За месяц от всех этих сканов трафика набежит мега
>2-3...что вообщем-то не очень важно...."Ну, блин Клинтон, ну ты такой умный..." Извини, вырвалось.
Огромное спасибо за ценнейшую информацию - что это не "сканирование", а "флуд", но по существу вопроса мысли есть? Возможно ли защититься?
imho, никак не защититься - просто by design. Как можно запретить хосту посылать пакет? Если только попытаться положить его самого :))) Или пытаться войти в контакт с владельцем сетки, откуда идет флуд - может быть, они будут склонны воздействовать на нарушителя. Кроме того, возможно (только предположение), что ваш хост отвечает на атаки чем-то типа icmp-port-unreachable, по которому атакующая сторона понимает, что жизнь есть. Может, если прикрыть icmp некоторых типов, и вместо reject пакетов делать drop (ОС не указана, так что как реализовать, надо смотреть) - сканер заткнется?
IMHO выход один: смотрим айпи в логах далее www.ripe.net узнаем прова катаем ему жалобу... заодно своему прову говорим айпи обидчика... у моего прова админы нормальные и пров к клиентам нормально относится в подобным ситуациях разбираються с всякими пид... :)))
>Может, если прикрыть icmp
>некоторых типов, и вместо reject пакетов делать drop (ОС не указана,
>так что как реализовать, надо смотреть) - сканер заткнется?Наиболее верный вариант. Потому как если хост будет на запросы отвечать "здесь жизни нет - это вообще марс", то и резона сканить не будет. Во всяком случае как мне кажется. Разумеется сделать то, что описано ниже тоже не помешает (ip прову дать).
P.S. Естественно, 1-ое имеет смысл только, если это случайный кулхацкер.
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?Надо узнать сеть из которой атакуют, поставить фаерволл и блокировать все покеты из нее, все =)
>Надо узнать сеть из которой атакуют, поставить фаерволл и блокировать все покеты
>из нее, все =)Это один из законов управления: "Если кто-то высказал дельную мысль, посмотрите на него как на идиота, и тут же выдайте её как свою собственную."
Не лень было кнопки нажимать? Я уже устал.
Очередной раз для особо талантливых: Файрволл сбрасывает (или отвергает) пакет. <U>НО ЧЕРЕЗ ШЛЮЗ ПРОВАЙДЕРА ЭТОТ ПАКЕТ ПРОШЕЛ</U> А значит, счётчик трафика увеличился.
Мне не представляется другого способа решить эту проблему, как без вмешательства сисадмина сетки, откуда этот пакет пришел. Но как его вычислить?
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?По IP адресу можно не только прова определить, но и выкинуть из таблицы routing-а всех незваных гостей ;) Удачи.
Флуд тем и плох что кладет ваш канал независимо от того будет ли принят 'эхо реквест', ну а со сканерами (посканят посканят и отвалятся если зацепится будет незачто)
а если пакет прилетел то он уже прилетел и будет обязательно посчитан.
Тут только идти к прову и просить не маршрутизировать пакеты из сети ххх.net в сеть yyy.ru
А вообще то все приличные провы с флудом борются (по банальным причинам т.к каналы у них тоже не резиновые , если бомбят вас то соответственно и их)