Исходное сообщение
"помогите отбиться...." Отправлено Smileph, 25-Июн-07 10:27
Здравствуйте, люди... Есть огромная проблема... Заключается в следующем.. Есть сервак, построеный на SuSE 10.0. На нем стоит apache2, postfix, squid и базы данных... С недавнего времени перешел с подключения pppoe на статическую подсеть... И спустя 10 дней начались следующие проблемы... Каждую минуту, а очень активное подобное состояние происходит ночью, по 80 порту мне постоянно ктото заливает трафик.. Соотв.тствеенон биллинговая система провайлера этот трафик считает, а я его не запрашиваюю Причем, проверив утилитой tcpdump состояние запросов выяснил, что с моей стороны запросов на эти хосты нет... Я выяснил несколько адресов с которых лился трафик и зблокировал... Вот отрывок из лога tcpdump: 03:19:18.195378 IP ns.xaix.com.40713 > Server.magnit-nn.http-alt: S 269412641:269412641(0) win 5840 <mss 1460,sackOK,timestamp 1453079411 0,nop,wscale 2> 03:19:18.412675 IP sr118.2dayhost.com.61280 > Server.magnit-nn.http-alt: S 2010429774:2010429774(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 557629084 0> 03:19:18.635624 IP ns.xaix.com.40107 > Server.magnit-nn.http-alt: S 250733200:250733200(0) win 5840 <mss 1460,sackOK,timestamp 1453079851 0,nop,wscale 2> Когда я заблокировал эти адреса в iptables, то ситуация стала нормальной и биллинговая система провайдера начала показывать нормальные значения... но с сегодняшнего дня опять всё повторяется, правда уже с других адресов. Помогите разобраться с этой проблемой, пожалуйста... Может есть вариант написать какие либо правила дополнительные в iptables, или есть какая либо программа, для автоматического определения подобного трафика и отсекание его... Заранее всем благодарен