URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 24903
[ Назад ]

Исходное сообщение
"Как защититься от атак хакеров?"

Отправлено harlan , 10-Янв-03 14:08 
Как защитить информацию - понятно, но атаки создают трафик, который стоит денег? Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти к другому прову - не приемлемы, в силу ряда обстоятельств. Можно ли по IP-адресу определить, какому провайдеру он принадлежит?

Содержание

Сообщения в этом обсуждении
"RE: Как защититься от атак хакеров?"
Отправлено and , 10-Янв-03 14:41 
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?

При желании конечно можно, сервис whois


"RE: Как защититься от атак хакеров?"
Отправлено harlan , 10-Янв-03 15:19 
>При желании конечно можно, сервис whois

Пробовал.
Ничего не говорит. ОН отвечает только за зоны .COM .ORG .NET etc., т.е. США. А есть что нить типа whois, только глобально по всей галактике?


"RE: Как защититься от атак хакеров?"
Отправлено shaman , 10-Янв-03 15:30 
>>При желании конечно можно, сервис whois
>
>Пробовал.
>Ничего не говорит. ОН отвечает только за зоны .COM .ORG .NET etc.,
>т.е. США. А есть что нить типа whois, только глобально по
>всей галактике?
www.nic.ru тебе поможет


"RE: Как защититься от атак хакеров?"
Отправлено J , 10-Янв-03 15:53 
>>При желании конечно можно, сервис whois
>
>Пробовал.
>Ничего не говорит. ОН отвечает только за зоны .COM .ORG .NET etc.,
>т.е. США. А есть что нить типа whois, только глобально по
>всей галактике?


а ты ему ip говори, и сеть указывай, например whois -h whois.ripe.net 217.168.64.0


"RE: Как защититься от атак хакеров?"
Отправлено nightmare , 10-Янв-03 23:20 
А ты защищать собрался домашний компьютер или сервак какой?

"RE: Как защититься от атак хакеров?"
Отправлено harlan , 11-Янв-03 11:57 
>А ты защищать собрался домашний компьютер или сервак какой?

А что? Есть принципиальная разница?


"RE: Как защититься от атак хакеров?"
Отправлено nightmare , 11-Янв-03 20:08 
>А что? Есть принципиальная разница?
Принципиальной разници вообщем нет, но подходы к защите серваков отличаются от защиты десктопов. (Хотя не всегда).



"RE: Как защититься от атак хакеров?"
Отправлено harlan , 13-Янв-03 10:25 
Просто возникла ситуация.
Есть комп, который постоянно подключен к сети. Оплата по входящему трафику. Тут, появляется кулхацкер, и начинает в течение N часов сканировать порт (какую цель он преследовал - неизвестно).
Мой файрволл пресекал эти атаки, но шлюз, через который данный комп подключен к паутине, говорит: "Мне сугубо фиолетово, что ты с этим пакетом сделал. Но он черезменя прошел, значит входящий трафик у тебя есть." Провайдер говорит, что это мои проблемы и его не касаются. Физически отключить машину от сети - вариант не приемлем.

"RE: Как защититься от атак хакеров?"
Отправлено Den , 13-Янв-03 11:29 
>Просто возникла ситуация.
>Есть комп, который постоянно подключен к сети. Оплата по входящему трафику. Тут,
>появляется кулхацкер, и начинает в течение N часов сканировать порт (какую
>цель он преследовал - неизвестно).
>Мой файрволл пресекал эти атаки, но шлюз, через который данный комп подключен
>к паутине, говорит: "Мне сугубо фиолетово, что ты с этим пакетом
>сделал. Но он черезменя прошел, значит входящий трафик у тебя есть."
>Провайдер говорит, что это мои проблемы и его не касаются. Физически
>отключить машину от сети - вариант не приемлем.
Это же ненормальный траффик. Тебе нужна система обнаружения вторжения, например portsentry или snort. Включи блокирование, только осторожнее с настройками, а то сам себе гадостей можешь наделать.

"RE: Как защититься от атак хакеров?"
Отправлено alx , 13-Янв-03 10:32 
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?

http://all-nettools.com/tools1.htm


"RE: Как защититься от атак хакеров?"
Отправлено Varran , 13-Янв-03 11:24 
А что, сканирование дает большой траффик?

"RE: Как защититься от атак хакеров?"
Отправлено and , 13-Янв-03 11:30 
> А что, сканирование дает большой траффик?


Смотря как сканировать, если весь день, то я думаю не маленький.


"RE: Как защититься от атак хакеров?"
Отправлено nightmare , 13-Янв-03 22:08 
>> А что, сканирование дает большой траффик?
>
>
>Смотря как сканировать, если весь день, то я думаю не маленький.
Только вот не могу понять почему ты подумал что должны сканировать целый день? Вообще если некто Х просканировал некий ip и не найдя ничего интиресного благополучно скроется...если только кто-то замутит злонамеренный флуд на некий ip. ИМХО За месяц от всех этих сканов трафика набежит мега 2-3...что вообщем-то не очень важно....



"RE: Как защититься от атак хакеров?"
Отправлено samnambulas , 14-Янв-03 10:21 
>>> А что, сканирование дает большой траффик?
>>
>>
>>Смотря как сканировать, если весь день, то я думаю не маленький.
>Только вот не могу понять почему ты подумал что должны сканировать целый
>день? Вообще если некто Х просканировал некий ip и не найдя
>ничего интиресного благополучно скроется...если только кто-то замутит злонамеренный флуд на некий
>ip. ИМХО За месяц от всех этих сканов трафика набежит мега
>2-3...что вообщем-то не очень важно....

Да что Вы говорите, а я сталкивался с такой же проблемой и речь шла не о 2-3 мегах как ты говоришь а 200-500 Mb да ещё и зарубежного траффика, а у меня всего 500 Mb зарубежа было. И к тому же не за месяц, а меньше чем за неделю! Просто у атакующего был не хилый канал по скорости и мой маленький в 128 Kb вообще ложил нафиг, да так что и страничка открывалась по несколько минут в локалке, так что тема актуальна=> Действительно, что делать если на тя начались такие массированные атаки, а прову на это дело побоку и к другому уйти проблематично?



"RE: Как защититься от атак хакеров?"
Отправлено harlan , 14-Янв-03 10:23 
>...если только кто-то замутит злонамеренный флуд на некий
>ip. ИМХО За месяц от всех этих сканов трафика набежит мега
>2-3...что вообщем-то не очень важно....

"Ну, блин Клинтон, ну ты такой умный..." Извини, вырвалось.

Огромное спасибо за ценнейшую информацию - что это не "сканирование", а "флуд", но по существу вопроса мысли есть? Возможно ли защититься?


"RE: Как защититься от атак хакеров?"
Отправлено trin , 14-Янв-03 10:41 
imho, никак не защититься - просто by design. Как можно запретить хосту посылать пакет? Если только попытаться положить его самого :))) Или пытаться войти в контакт с владельцем сетки, откуда идет флуд - может быть, они будут склонны воздействовать на нарушителя. Кроме того, возможно (только предположение), что ваш хост отвечает на атаки чем-то типа icmp-port-unreachable, по которому атакующая сторона понимает, что жизнь есть. Может, если прикрыть icmp некоторых типов, и вместо reject пакетов делать drop (ОС не указана, так что как реализовать, надо смотреть) - сканер заткнется?

"RE: Как защититься от атак хакеров?"
Отправлено woland , 14-Янв-03 11:01 
IMHO выход один: смотрим айпи в логах далее www.ripe.net узнаем прова катаем ему жалобу... заодно своему прову говорим айпи обидчика... у моего прова админы нормальные и пров к клиентам нормально относится в подобным ситуациях  разбираються с всякими пид... :)))

"RE: Как защититься от атак хакеров?"
Отправлено Angel Keeper , 14-Янв-03 11:11 
>Может, если прикрыть icmp
>некоторых типов, и вместо reject пакетов делать drop (ОС не указана,
>так что как реализовать, надо смотреть) - сканер заткнется?

Наиболее верный вариант. Потому как если хост будет на запросы отвечать "здесь жизни нет - это вообще марс", то и резона сканить не будет. Во всяком случае как мне кажется. Разумеется сделать то, что описано ниже тоже не помешает (ip прову дать).

P.S. Естественно, 1-ое имеет смысл только, если это случайный кулхацкер.


"RE: Как защититься от атак хакеров?"
Отправлено s0me , 14-Янв-03 18:17 
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?

Надо узнать сеть из которой атакуют, поставить фаерволл и блокировать все покеты из нее, все =)


"RE: Как защититься от атак хакеров?"
Отправлено harlan , 15-Янв-03 10:48 
>Надо узнать сеть из которой атакуют, поставить фаерволл и блокировать все покеты
>из нее, все =)

Это один из законов управления: "Если кто-то высказал дельную мысль, посмотрите на него как на идиота, и тут же выдайте её как свою собственную."

Не лень было кнопки нажимать? Я уже устал.

Очередной раз для особо талантливых: Файрволл сбрасывает (или отвергает) пакет. <U>НО ЧЕРЕЗ ШЛЮЗ ПРОВАЙДЕРА ЭТОТ ПАКЕТ ПРОШЕЛ</U> А значит, счётчик трафика увеличился.
Мне не представляется другого способа решить эту проблему, как без вмешательства сисадмина сетки, откуда этот пакет пришел. Но как его вычислить?


"RE: Как защититься от атак хакеров?"
Отправлено slackuser , 15-Янв-03 11:27 
>Как защитить информацию - понятно, но атаки создают трафик, который стоит денег?
>Вышестоящий провайдер помогать в этом вопросе не желает, а советы уйти
>к другому прову - не приемлемы, в силу ряда обстоятельств. Можно
>ли по IP-адресу определить, какому провайдеру он принадлежит?

По IP адресу можно не только прова определить, но и выкинуть из таблицы routing-а всех незваных гостей ;) Удачи.


"RE: Как защититься от атак хакеров?"
Отправлено interprise , 15-Янв-03 12:01 
Флуд тем и плох что кладет ваш канал независимо от того будет ли принят 'эхо реквест', ну а со сканерами (посканят посканят и отвалятся если зацепится будет незачто)
а если пакет прилетел то он уже прилетел и будет обязательно посчитан.
Тут только идти к прову и просить не маршрутизировать пакеты из сети ххх.net в сеть yyy.ru
А вообще то все приличные провы с флудом борются (по банальным причинам т.к каналы у них тоже не резиновые , если бомбят вас то соответственно и их)