форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Гм.. атака на сервер ?"
Сообщение от Андрей on 06-Апр-02, 14:38  (MSK)
Сегодня столкнулся с проблемой: из внутренней сетки пинали на сервер по 139 порту слишком много данных - глядел по tcpdump и вообщем-то вроде как ничего, но после окончания этого с этого внутреннего адреса с сервера ничего не ходит - он молчит.. если пинг из внутренней сетки, то все нормально, если с сервера - нифига.. во время пинга глядет tcpdump - запрос уходит, ответ приходит... но ping этот ответ не воспринимает..:( ну и вообщем-то после этого прокся squid например, которая сидит на этом адресе , не ловила запросы на соединение.. т.е. после этого все сервисы на этом адресе отрубились.. причем, если с сервера послать запрос например к проксе, то все пучком.. т.е. грабли были где-то до этого..может быть в стеке Ну и вопрос - кто-нить сталкивался с этим ? Если да, то объясните всю суть этого ? система slackware 8.0 kernel 2.2.19
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Гм.. атака на сервер ?"
Сообщение от Рза on 06-Апр-02, 17:55  (MSK)
Ничего страшного обыкновенный DoS. Настрой ipchains и всё будет ок.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Гм.. атака на сервер ?"
	Сообщение от Андрей on 08-Апр-02, 08:10  (MSK)
	>Ничего страшного обыкновенный DoS. Настрой ipchains >и всё будет ок. Стало быть система уязмима по этому поводу ? И еще - 139 порт у меня закрыт... нет там сервисов.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Гм.. атака на сервер ?"
	Сообщение от Андрей on 08-Апр-02, 08:23  (MSK)
	И еще, а кто мешает провести эту атаку на любой легальный порт ? Например, на открытый порт под прокси ? в этом случае ipchains видимо не спасет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Гм.. атака на сервер ?"
	Сообщение от Medlar on 08-Апр-02, 14:24  (MSK)
	1.В этом случае спасет iptables Он позволяет ограничивать число соединений с конкретным портом 2. Если сервис подлежит запуску с.п. xinetd, то и там есть возможность ограничений соединений с одного ip или на конкретный порт 3. При сборке ядра не мешает обратить внимание на опцию tcp/ip syncookie support (от syn-flood'a) Меня однажды эта опция спасла, вернее мой почтовик, когда на него свалилось 10тыс. писем :) Несмотря на значительное замедление работы, сервер продолжал работать и принимать/посылать почту моих юзеров. 4. Ну и рortsentry в стороне не останется, я думаю, в случае syn-flooda, тоже своего рода DoS-атака
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Вдогонку"
	Сообщение от Medlar on 08-Апр-02, 15:04  (MSK)
	http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filtering-HOWTO.html здесь есть конкретные примеры настройки iptables для отражения DoS-атак Только применять нужно вдумчиво, у меня, например, после точного коирования этих заготовок на почтовик любое pop3-содинение воспринималось как ping_of_death, а еще smtp-cоединение - как stealh scan & syn-flood.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Вдогонку"
	Сообщение от Андрей on 08-Апр-02, 15:17  (MSK)
	Ну с этим все вроде как понятно, как бороться (надеюсь) Но фокус был в том, что 139 порт у меня закрыт, точнее никакого сервиса нет на нем. Стало быть после этого отрубился сам стек или еще что... Но ведь такого рода атаки уже давно известны, и вроде как ядро должно быть написано с учетом этого. Все фичи, которые есть в ядре я установил ( ну типа дефрагментации пакетов и т.д.)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.