форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IP flood или ХЗ что..."
Сообщение от Zyx (??) on 29-Авг-04, 16:10  (MSK)
FreeBSD 4.9. Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло. Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, и надавать по ушам... Заранее большое спасибо.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IP flood или ХЗ что..."
Сообщение от INM (??) on 29-Авг-04, 16:54  (MSK)
>FreeBSD 4.9. >Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то >непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с >вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К >примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество >запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж >на 60%, это на 2.4 проце и люди стали жаловаться на >скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом >с самого сервера все нормально качается, хреново только изнутри. В файрволе >закрыл прохождение запросов этих наружу, не помогло. >Не подскажете ли, как можно боротся с этим? Или хотя бы как >вычислить, кто так балуется, и надавать по ушам... Похоже червяки...., вот им и надавай по ушам....;-) >Заранее большое спасибо.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IP flood или ХЗ что..."
Сообщение от Grey on 29-Авг-04, 16:57  (MSK)
>FreeBSD 4.9. >Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то >непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с >вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К >примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество >запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж >на 60%, это на 2.4 проце и люди стали жаловаться на >скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом >с самого сервера все нормально качается, хреново только изнутри. В файрволе >закрыл прохождение запросов этих наружу, не помогло. >Не подскажете ли, как можно боротся с этим? Или хотя бы как >вычислить, кто так балуется, и надавать по ушам... >Заранее большое спасибо. случайно не по портам 135-139, 445 ? если да, то это вирусятник на винде у вас внутри сети.... резать такие пакеты на всех интерфейсах, а источник просто отключать....
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IP flood или ХЗ что..."
	Сообщение от Zyx (??) on 29-Авг-04, 17:36  (MSK)
	Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!! Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak s etim borotsja??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IP flood или ХЗ что..."
	Сообщение от Grey on 29-Авг-04, 18:09  (MSK)
	>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s >RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!! >Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s >raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak >s etim borotsja?? я бы делал примерно так: 1. резать пакеты с несуществующих IP, откладывая в лог и для анализа. 2. попробовать определить MAC адреса источников. 3. отключать если MAC будет определён и источник локализован.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "IP flood или ХЗ что..."
	Сообщение от Zyx (??) on 29-Авг-04, 20:13  (MSK)
	>>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s >>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!! >>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s >>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak >>s etim borotsja?? > >я бы делал примерно так: >1. резать пакеты с несуществующих IP, откладывая в лог и для анализа. > >2. попробовать определить MAC адреса источников. >3. отключать если MAC будет определён и источник локализован. Zamechateljnyj sovet!!:) Pakety s nesushestvujushih adrsov i tak rezu, ne pomogaet. MAC vychislitj eto horosho, imenno ob etom jq i sprashival. Vot toljko KAK??? KAK MAC vychislitj?? Budu blagodaren za bolee menee podrobnuju instrukciju.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "IP flood или ХЗ что..."
	Сообщение от Grey on 29-Авг-04, 20:17  (MSK)
	>>>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s >>>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!! >>>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s >>>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak >>>s etim borotsja?? >> >>я бы делал примерно так: >>1. резать пакеты с несуществующих IP, откладывая в лог и для анализа. >> >>2. попробовать определить MAC адреса источников. >>3. отключать если MAC будет определён и источник локализован. >Zamechateljnyj sovet!!:) Pakety s nesushestvujushih adrsov i tak rezu, ne pomogaet. MAC >vychislitj eto horosho, imenno ob etom jq i sprashival. Vot toljko >KAK??? KAK MAC vychislitj?? Budu blagodaren za bolee menee podrobnuju instrukciju. > ну тогда ищи оп форуму как сделать привязку IP к MAC... привяжи всех легальных и думаю это поможет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "IP flood или ХЗ что..."
	Сообщение от Zyx (??) on 29-Авг-04, 20:32  (MSK)
	>>>>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s >>>>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!! >>>>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s >>>>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak >>>>s etim borotsja?? >>> >>>я бы делал примерно так: >>>1. резать пакеты с несуществующих IP, откладывая в лог и для анализа. >>> >>>2. попробовать определить MAC адреса источников. >>>3. отключать если MAC будет определён и источник локализован. >>Zamechateljnyj sovet!!:) Pakety s nesushestvujushih adrsov i tak rezu, ne pomogaet. MAC >>vychislitj eto horosho, imenno ob etom jq i sprashival. Vot toljko >>KAK??? KAK MAC vychislitj?? Budu blagodaren za bolee menee podrobnuju instrukciju. >> >ну тогда ищи оп форуму как сделать привязку IP к MAC... привяжи >всех легальных и думаю это поможет... DA privjazano, privjazano! Svjazka DHCP, arp i ipfw och zamechateljno rabotaet. No ne v etom sluchae. Mozet eshe kak mozno privjazatj? Ili po paketu MAC vychislitj?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "IP flood или ХЗ что..."
	Сообщение от tangar (ok) on 29-Авг-04, 21:18  (MSK)
	Поставь хороший монитор сети, я бы посоветовал Fluke Network Inspector. Прекрасно показывает смены ip, mac и кучу прочих параметров.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.