Народ, объявился в сети один хост, который флудит echoreqst-ами natd, по всей видимости у клиента работает какой-то sobig, в результате натд занимает все процессорные ресурсы и в сеть больше пройти не может никто. Пришлось отрубить его через ipfw, причем помогло только
ipfw add deny all from 192.168.10.23 to any.
Вот что показывает trafshow от этого hosta- а:
=
192.168.10.23..echoreqst                   61.161.226.216                             icmp                92 18
192.168.10.23..echoreqst                   61.161.229.166                             icmp                92
192.168.10.23..echoreqst                   61.161.229.167                             icmp                92
192.168.10.23..echoreqst                   61.161.229.168                             icmp                92
192.168.10.23..echoreqst                   61.161.229.169                             icmp                92
192.168.10.23..echoreqst                   61.161.229.170                             icmp                92

Конечно с это проблемой мы справимся, но вот вопрос.. как сделать так, чтобы в дальнейшем такая проблема не вставала, то есть чтобы флуд такого рода сразу присекался и чтобы сетка не подвешивалась...???

Подскажите, плиз ...
Заранее благодарен..

• Зафлудили natd... Как бороться? HELP!!!,A Clockwork Orange, 13:22 , 04-Дек-03
  • Зафлудили natd... Как бороться? HELP!!!,Psy, 13:31 , 04-Дек-03
    • Зафлудили natd... Как бороться? HELP!!!,A Clockwork Orange, 13:46 , 04-Дек-03
• Зафлудили natd... Как бороться? HELP!!!,Andr, 13:51 , 04-Дек-03
  • Зафлудили natd... Как бороться? HELP!!!,Psy, 14:04 , 04-Дек-03
    • Зафлудили natd... Как бороться? HELP!!!,Antonio, 14:17 , 04-Дек-03
      • Зафлудили natd... Как бороться? HELP!!!,A Clockwork Orange, 14:32 , 04-Дек-03
        • Зафлудили natd... Как бороться? HELP!!!,Antonio, 14:48 , 04-Дек-03
      • Зафлудили natd... Как бороться? HELP!!!,vadblm, 16:52 , 04-Дек-03
    • Зафлудили natd... Как бороться? HELP!!!,Andr, 09:56 , 05-Дек-03
      • Зафлудили natd... Как бороться? HELP!!!,artist, 23:29 , 07-Дек-03

Хе это вирус блин!

>Хе это вирус блин!

Сам знаю, что вирус... как со флудом ната бороться?

Что значит как, убиваешь вирус и все

>Конечно с это проблемой мы справимся, но вот вопрос.. как сделать так,
>чтобы в дальнейшем такая проблема не вставала, то есть чтобы флуд
>такого рода сразу присекался и чтобы сетка не подвешивалась...???

Настроить ipfw по минимуму. Разрешить только необходимое. Полностью проблему не решишь, но большинство флуда отрежет.

да, но что значит самое необходимое?
во-первых... какие порты следует оставить открытыми для домашней сети, прошу привести перечень кроме
80,
8080,
3128
20
21
22
...
Во вторых нат зафлудило icmp пакетами или echorecuest -ми, вот как сделать так, чтобы огрничить возможное количество поступающих пакетов такого рода на сервер??

>да, но что значит самое необходимое?
>во-первых... какие порты следует оставить открытыми для домашней сети, прошу привести перечень
>кроме
>80,
>8080,
>3128
>20
>21
>22
>...

25 (smtp, если только у вас не собственный почтовик),
110 (pop3),
143 (imap),
119 (news),
443 (https),
5190 (icq, либо заворачивать ее в squid).

Хе, для домашней... Тогда еще файлообменки: для ословодов 4662, 4663, 4665. Что для казаа, без понятия.

А как насчет  993,  995 ?

>А как насчет  993,  995 ?

А юзера знают, для чего эти порты? ;-)

53
или DNS уже никому не нужен? :)

Еще имеет смысл почитать вот это:
http://www.opennet.me/tips/info/277.shtml

и это:
http://www.opennet.me/tips/info/276.shtml

вот тут на английском:
http://www.cymru.com/Documents/ip-stack-tuning.html

В общем, по этому вопросу достаточно много в сети понаписано, поискать только надо.

мона поставить snort и snortsam, они в связке умеют перекрывать автоматов "нехорошую" деятельность