URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2493
[ Назад ]
Исходное сообщение
"icmp redirect"
Отправлено zk , 13-Дек-05 15:58 
Сегодня обнаружил в kern.log следующее:

Dec 13 11:13:37 ее kernel: icmp redirect from 127.0.0.1: 192.168.0.1 => 127.0.0.1
Dec 13 11:13:37  last message repeated 839 times
Dec 13 11:13:37 ее  kernel: icmp redirect from 12e.0.0.1  19m.167.0.1 1> 127.0.0.1
Dec 13 11:13:37 ее  kernel: icmp redirect from 127.0.0.1: 192.168.0.1 => 127.0.0.1
Dec 13 11:13:37  last message repeated 6 times

Лог занимал ~1гб, и сервер примерно после 15 минут такого повис.
Подсети 192.168.0.1 нету, наверно это подмена заголовка.

Вобщем вопрос: обьясните что это и как с этим бороться?

Содержание
Сообщения в этом обсуждении
"icmp redirect"
Отправлено idle , 16-Дек-05 14:30 
>Сегодня обнаружил в kern.log следующее:
>
>Dec 13 11:13:37 ее kernel: icmp redirect from 127.0.0.1: 192.168.0.1 => 127.0.0.1
>Dec 13 11:13:37  last message repeated 839 times
>Dec 13 11:13:37 ее  kernel: icmp redirect from 12e.0.0.1  19m.167.0.1 1> 127.0.0.1
>Dec 13 11:13:37 ее  kernel: icmp redirect from 127.0.0.1: 192.168.0.1 => 127.0.0.1
>Dec 13 11:13:37  last message repeated 6 times
>
>Лог занимал ~1гб, и сервер примерно после 15 минут такого повис.
>Подсети 192.168.0.1 нету, наверно это подмена заголовка.
>
>Вобщем вопрос: обьясните что это и как с этим бороться?
Есть такая фигня, называется  ICMP redirects DoS
в старых freebsd была опция ядра ограничивающая эта дело, в современных я ненашёл, наверно встроили.
А что у вас за система я как-то не смог догадаться, ну не телепат я нифига.
sysctl net.inet.icmp

"icmp redirect"
Отправлено skillcoder , 10-Авг-10 14:39 
>[оверквотинг удален]
>>Лог занимал ~1гб, и сервер примерно после 15 минут такого повис.
>>Подсети 192.168.0.1 нету, наверно это подмена заголовка.
>>
>>Вобщем вопрос: обьясните что это и как с этим бороться?
>Есть такая фигня, называется  ICMP redirects DoS
>в старых freebsd была опция ядра ограничивающая эта дело, в современных я
>ненашёл, наверно встроили.
>А что у вас за система я как-то не смог догадаться, ну
>не телепат я нифига.
>sysctl net.inet.icmp

та же фигня только после нескольких десятков тысяч таких сообщений сервак падает в корку.

sysctl net.inet.icmp                                                                            
net.inet.icmp.maskrepl: 0
net.inet.icmp.icmplim: 5000
net.inet.icmp.bmcastecho: 0
net.inet.icmp.quotelen: 8
net.inet.icmp.reply_from_interface: 0
net.inet.icmp.reply_src:
net.inet.icmp.icmplim_output: 1
net.inet.icmp.log_redirect: 1
net.inet.icmp.drop_redirect: 1
net.inet.icmp.maskfake: 0

Где и как это закрыть?
Фря 7.2-RELEASE

"icmp redirect"
Отправлено skillcoder , 17-Авг-10 04:50 
>[оверквотинг удален]
>net.inet.icmp.quotelen: 8
>net.inet.icmp.reply_from_interface: 0
>net.inet.icmp.reply_src:
>net.inet.icmp.icmplim_output: 1
>net.inet.icmp.log_redirect: 1
>net.inet.icmp.drop_redirect: 1
>net.inet.icmp.maskfake: 0
>
>Где и как это закрыть?
>Фря 7.2-RELEASE

Подскажите пж.
Как с этим бороться ?
Может ли это как то быть связано с этим ?
# vmstat -z | g "128 Bucket"                                                                                  
128 Bucket:              1048,        0,     2104,        2,    99742,    19359