The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"flags ipfw "
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"flags ipfw "
Сообщение от sda emailИскать по авторуВ закладки(??) on 11-Янв-05, 20:26  (MSK)
Народ, подскажите как избежать данной проблемы? Т.е. запретить подобного рода соединения?


   Connection attempt to TCP my_ip:45442 from remote_ip:80 flags:0x12

  Подскажите, пожалуйста..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "flags ipfw "
Сообщение от magr Искать по авторуВ закладки(??) on 12-Янв-05, 15:22  (MSK)
> Народ, подскажите как избежать данной проблемы? Т.е. запретить подобного рода соединения?
>
>
>
>   Connection attempt to TCP my_ip:45442 from remote_ip:80 flags:0x12
>
>  Подскажите, пожалуйста..

ipfw add 1 deny tcp from remote_ip 80 to my_ip

и быть готовым к тому, что, вероятно, содержимое веб-серверов, хостящихся на remote_ip (если таковые есть) вы не увидите.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "flags ipfw"
Сообщение от sam_daemon Искать по авторуВ закладки(ok) on 12-Янв-05, 15:39  (MSK)
> Народ, подскажите как избежать данной проблемы? Т.е. запретить подобного рода соединения?
>
>
>
>   Connection attempt to TCP my_ip:45442 from remote_ip:80 flags:0x12
>
>  Подскажите, пожалуйста..
ipfw add 111 deny tcp from remote_ip tcpflags syn,ack to my_ip
А зачем?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 12-Янв-05, 16:15  (MSK)
>ipfw add 111 deny tcp from remote_ip tcpflags syn,ack to my_ip
>А зачем?

  У меня за одни сутки было превышение по траффику на 16 гигабайт(!) и единственное, что я зафиксировал - так это вот эта надпись... При том логи провайдера показали, что это был http траффик, т.е. 80 порт (удаленной стороны). ПОэтому я решил что меня просто с 80 порта атаковали dos-атакой.. :( С другой стороны.. syn - это же начало пакета.. ТОгда как будут устанавливатсья вообще с 80 портом удаленной машины соединения? :( Подскажешь может что-нибудь?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "flags ipfw"
Сообщение от sam_daemon Искать по авторуВ закладки(ok) on 12-Янв-05, 16:37  (MSK)
>>ipfw add 111 deny tcp from remote_ip tcpflags syn,ack to my_ip
>>А зачем?
>
>  У меня за одни сутки было превышение по траффику на
>16 гигабайт(!) и единственное, что я зафиксировал - так это вот
>эта надпись... При том логи провайдера показали, что это был http
>траффик, т.е. 80 порт (удаленной стороны). ПОэтому я решил что меня
>просто с 80 порта атаковали dos-атакой.. :( С другой стороны.. syn
>- это же начало пакета.. ТОгда как будут устанавливатсья вообще с
>80 портом удаленной машины соединения? :( Подскажешь может что-нибудь?

16 Гб трафик - это да.
Но только - анализ нужен, однако.
Это был входящий трафик или исходящий?
Как я понимаю, логи не велись? А откуда эта запись?
И что за сервер по этому самому remote_ip?
Просто 80 порт - серверный порт, то есть - скорее всего кто-то что-то
на этом сервере смотрел.
Просто взять и закрыть - легко, главное же - то, что надо закрыть))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 12-Янв-05, 16:42  (MSK)
>16 Гб трафик - это да.
>Но только - анализ нужен, однако.
>Это был входящий трафик или исходящий?
>Как я понимаю, логи не велись? А откуда эта запись?
>И что за сервер по этому самому remote_ip?
>Просто 80 порт - серверный порт, то есть - скорее всего кто-то
>что-то
>на этом сервере смотрел.
>Просто взять и закрыть - легко, главное же - то, что надо
>закрыть))
  
   Это входящий трафик с 80 порта. Т.е. как будто мы что-то качали. У меня все идет через прокси с авторизацией, поэтому кто-то из наших не мог просто напрсто накачать. Мой сервер сам по себе тем более. Логи велись. Анализ логов ipfw ничего не показали. Единственное, так это вот эта запись.. connection attempt.... Ситуация прискорбная.. :( Вот я и пытаюсь выяснить хотя бы каким образом это получилось :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "flags ipfw"
Сообщение от sam_daemon Искать по авторуВ закладки(ok) on 12-Янв-05, 16:50  (MSK)

>   Это входящий трафик с 80 порта. Т.е. как будто
>мы что-то качали. У меня все идет через прокси с авторизацией,
>поэтому кто-то из наших не мог просто напрсто накачать. Мой сервер
>сам по себе тем более. Логи велись. Анализ логов ipfw ничего
>не показали. Единственное, так это вот эта запись.. connection attempt.... Ситуация
>прискорбная.. :( Вот я и пытаюсь выяснить хотя бы каким образом
>это получилось :(

ipfw count? ну, не эти логи имелись в виду... детальные - типа ipacctd и пр. Ну да неважно.
просто напросто не мог... ну, разные бывают казусы.
особенно с сайтами "для взрослых". бывает, привязываются очень неплохо)
пару клиентов нам жаловались, помнится, что мы им большой трафик насчитали.
детальная статистика все расставила по местам. то есть, трафик мог идти действительно без ведома пользователя.. потом.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 12-Янв-05, 16:58  (MSK)
>ipfw count? ну, не эти логи имелись в виду... детальные - типа
>ipacctd и пр. Ну да неважно.
>просто напросто не мог... ну, разные бывают казусы.
>особенно с сайтами "для взрослых". бывает, привязываются очень неплохо)
>пару клиентов нам жаловались, помнится, что мы им большой трафик насчитали.
>детальная статистика все расставила по местам. то есть, трафик мог идти действительно
>без ведома пользователя.. потом.

   И это 5 числа, когда никто не работал??? :) Чтобы выкачать 16 гигабайт это нужно максимально юзать наш канал ровно сутки. А это так и полчуилось. За остальные дни - ничего, все как обычно. Какие могут быть варианты? Сами понимаете, что какая-то брешь в системе, позволяющая выкачивать 16 гигабай в сутки мало прельщает :(


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "flags ipfw"
Сообщение от uldus Искать по авторуВ закладки(ok) on 12-Янв-05, 17:05  (MSK)
>Чтобы выкачать 16 гигабайт это нужно максимально юзать наш канал ровно
>сутки. А это так и полчуилось. За остальные дни - ничего,

Для примера:
FTP с отрытым incoming куда могут накачать вареза и выложить ссылку.
Открытый прокси или релей, через который рассылали спам.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 13-Янв-05, 08:14  (MSK)

>Для примера:
>FTP с отрытым incoming куда могут накачать вареза и выложить ссылку.
>Открытый прокси или релей, через который рассылали спам.
  
  Ну, я, конечно, не супер системный администратор и может быть не знаю всех тонкостей freebsd. Но открывать incoming на ftp не рехнулся еще :)
  Такая же ситуация с open relay. Пришло с 80 порта доподлинно известно

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "flags ipfw"
Сообщение от uldus Искать по авторуВ закладки(ok) on 13-Янв-05, 09:49  (MSK)
>  Такая же ситуация с open relay. Пришло с 80 порта
>доподлинно известно

В обход прокси пользователям точно не скачать ? Прокси squid ? В нем заткнута последняя дыра с обходом ntlm аутентификации ? Настройки не позволяю скачивать весь файл, когда пользователь попросил сквид скачать последние 10 байт от ISO образа какого-нибудь DVD, а удаленный сервер не поддерживает range ?

И еще, какнал в этот день точно работал ? Был случай когда из-за глюка в оборудовании (xDSL коммутутор от Lucent), при падении канала, SNMP счетчик для этого порта начинал считать весь суммарный трафик по коммутатору. Узнайте у провайдера, какой суммарный трафик на той железяке к которой вы подключены, сразу все станет ясно.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 13-Янв-05, 09:58  (MSK)
>В обход прокси пользователям точно не скачать ? Прокси squid ? В
>нем заткнута последняя дыра с обходом ntlm аутентификации ? Настройки не
>позволяю скачивать весь файл, когда пользователь попросил сквид скачать последние 10
>байт от ISO образа какого-нибудь DVD, а удаленный сервер не поддерживает
>range ?
>
>И еще, какнал в этот день точно работал ? Был случай когда
>из-за глюка в оборудовании (xDSL коммутутор от Lucent), при падении канала,
>SNMP счетчик для этого порта начинал считать весь суммарный трафик по
>коммутатору. Узнайте у провайдера, какой суммарный трафик на той железяке к
>которой вы подключены, сразу все станет ясно.

  Да, канал работал в этот день. Мой сервер зафиксировал 16 гигабайт входящего траффика. В обход сквид - исключено. Порт 3128 прикрыт со внешки. В логах сквида - сам перебирал - ничего. Авторизация ncsa.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "flags ipfw"
Сообщение от magr Искать по авторуВ закладки(??) on 12-Янв-05, 17:08  (MSK)
>   Это входящий трафик с 80 порта. Т.е. как будто
>мы что-то качали. У меня все идет через прокси с авторизацией,
>поэтому кто-то из наших не мог просто напрсто накачать. Мой сервер
>сам по себе тем более. Логи велись. Анализ логов ipfw ничего
>не показали. Единственное, так это вот эта запись.. connection attempt.... Ситуация
>прискорбная.. :( Вот я и пытаюсь выяснить хотя бы каким образом
>это получилось :(

16 гигабайт трафика с одной такой записью не может быть связано. (1 мегабайт кстати тоже)

flags:0x12 - характерно для ситуации, когда Ваш хост сгенерировал SYN-пакет, а удаленный сервер ей послал ответ.
Другое дело что раз встретилось connection attempt, то хост забыл о том, что слал SYN-пакет (причин МНОГО возможных), или не отсылал его вовсе.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "flags ipfw"
Сообщение от _KAV_ Искать по авторуВ закладки(ok) on 12-Янв-05, 17:29  (MSK)
>
>16 гигабайт трафика с одной такой записью не может быть связано. (1
>мегабайт кстати тоже)
Если ровно сутки работы - то не престижи ли у вас? и провайдер не считает ли трафик на порту циски?
Престиж  не дает "хост недоступен" по завису линии- он возвращает пакет обратно. А циска его снова туда - и так пакет гуляет между циской и престижем на всю полосу шейпера, пока его ttl не истечет... а там следующий пакетик подвалит... Бывало у меня такое.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 13-Янв-05, 08:17  (MSK)
>>
>>16 гигабайт трафика с одной такой записью не может быть связано. (1
>>мегабайт кстати тоже)
>Если ровно сутки работы - то не престижи ли у вас? и
>провайдер не считает ли трафик на порту циски?
>Престиж  не дает "хост недоступен" по завису линии- он возвращает пакет
>обратно. А циска его снова туда - и так пакет гуляет
>между циской и престижем на всю полосу шейпера, пока его ttl
>не истечет... а там следующий пакетик подвалит... Бывало у меня такое.
>
  Да, у прова считается все на циске. На моей стороне стоит ZyXEL OMNI ADSL. Т.е. могла ьыть ситуация, что просто между мной и провом гуляли неправильно пакетики и пров посчитал это как входящий трафик?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "flags ipfw"
Сообщение от _KAV_ Искать по авторуВ закладки(ok) on 14-Янв-05, 10:30  (MSK)
>  Да, у прова считается все на циске. На моей стороне
>стоит ZyXEL OMNI ADSL. Т.е. могла ьыть ситуация, что просто между
>мной и провом гуляли неправильно пакетики и пров посчитал это как
>входящий трафик?
>

Да, вполне. И сутки - как раз интервал между снятиями статистики

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "flags ipfw"
Сообщение от sda emailИскать по авторуВ закладки(??) on 13-Янв-05, 08:16  (MSK)
>flags:0x12 - характерно для ситуации, когда Ваш хост сгенерировал SYN-пакет, а удаленный
>сервер ей послал ответ.
>Другое дело что раз встретилось connection attempt, то хост забыл о том,
>что слал SYN-пакет (причин МНОГО возможных), или не отсылал его вовсе.
>

   Т.е. если и взломали мою систему, то просто провели dos-атаку с неправильно формированными пакетами? Хорошо, тогда вопрос: почему это началось именно в 0 часов и закончилось в 23:59?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "flags ipfw"
Сообщение от Antonio emailИскать по авторуВ закладки(??) on 13-Янв-05, 17:21  (MSK)
> почему это началось именно в 0 часов и закончилось в 23:59?

Могу и не угадать, но точка.ру (по крайней мере стрим) переустанавливает сессию именно в это время.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "flags ipfw "
Сообщение от sda emailИскать по авторуВ закладки(??) on 13-Янв-05, 14:43  (MSK)
   Ну что, многоуважаемый all. Варианты исчерпаны? Так что же это могло быть?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "flags ipfw "
Сообщение от sda emailИскать по авторуВ закладки(??) on 17-Янв-05, 12:18  (MSK)
  All! Могли ли каким то образом перенаправлять пакетики от моего имени? Например изменением в пакете исходного ip? Т.е. качать с какого-то сайта от моего имени? по схеме:

  кто-то -> мой сервер -> сайт с которого качали -> мой сервер -> кто-то?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "flags ipfw "
Сообщение от _KAV_ Искать по авторуВ закладки(ok) on 17-Янв-05, 12:40  (MSK)
>  All! Могли ли каким то образом перенаправлять пакетики от моего
>имени? Например изменением в пакете исходного ip? Т.е. качать с какого-то
>сайта от моего имени? по схеме:
>
>  кто-то -> мой сервер -> сайт с которого качали -> мой сервер -> кто-то?
Если у тебя iptables криво настроены - вполне. А смысл? Разве если внутрисетевой трафик не считается...
Проверь таки вариант с зависом модема и левым подсчетом - уж очень похоже.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "flags ipfw "
Сообщение от sda emailИскать по авторуВ закладки(??) on 17-Янв-05, 13:01  (MSK)

>Если у тебя iptables криво настроены - вполне. А смысл? Разве если
>внутрисетевой трафик не считается...
>Проверь таки вариант с зависом модема и левым подсчетом - уж очень
>похоже.

  У меня вообще iptables нет. Голимый ipfw. from any 80 to my_ip in via rl0
  Засиса модема не было да и левого подсчета нет. Что пров прислал в отчете то и было (связывался с админами этого сайта, они смотрели логи их апаче.) Действительно с моего ip выкачали с их сайта 16 гиг. но у меня гичего нет в отчетах :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "flags ipfw "
Сообщение от _KAV_ Искать по авторуВ закладки(ok) on 17-Янв-05, 13:19  (MSK)
>  У меня вообще iptables нет. Голимый ipfw. from any 80
>to my_ip in via rl0
Ну, тогда не может быть... если нет строк типа from any to any.
>  Засиса модема не было да и левого подсчета нет. Что
>пров прислал в отчете то и было (связывался с админами этого
>сайта, они смотрели логи их апаче.) Действительно с моего ip выкачали
>с их сайта 16 гиг. но у меня гичего нет в
>отчетах :(
тогда увы... если нет повторения - ничего вычислить уже не удастся.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "flags ipfw "
Сообщение от sda emailИскать по авторуВ закладки(??) on 17-Янв-05, 14:20  (MSK)

>тогда увы... если нет повторения - ничего вычислить уже не удастся.

  ПОнятно, значит я чего-то где-то недоглядел. Будет уроком. Надеюсь не повторится. Зажал всем на сквиде канал delay_pool'ом. Даже если и повторится, то уже не в таких количествах :)

   Всем спасибо. :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру