forum.opennet.ru - "mpd, мониторинг интерфейсов ng*" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"mpd, мониторинг интерфейсов ng*"

Форум Открытые системы на сервере (VPN / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

*"mpd, мониторинг интерфейсов ng"**	+/–
Сообщение от serg2k (ok) on 06-Ноя-11, 23:23
Есть сервер на нем: freebsd 8.2, mpd5.5, bind 9.6 Проблема: через какой то из ng интерфейсов идут днс запросы от фиктивного ip лог: named[1030]: client 10.64.64.64#3087: error sending response: network unreachable единственный способ вычисления паразита, который я знаю - делать подряд tcpdump -i ng0 tcpdump -i ng1 ... tcpdump -i ngXXX, но т.к. интерфейсов более 600, то это не очень удобно Прошу помочь с поиском других вариантов. Нужно получить либо номер ng интерфейса, либо мак адрес злоумышленника. PS: днс это как пример, бывают и другие нехорошести, которые желательно выявлять.
Ответить \| Правка \| Cообщить модератору

Оглавление

mpd, мониторинг интерфейсов ng*, Pahanivo, 23:32 , 06-Ноя-11, (1)

mpd, мониторинг интерфейсов ng*, serg2k, 10:45 , 07-Ноя-11, (3)

mpd, мониторинг интерфейсов ng*, sherlock, 08:35 , 07-Ноя-11, (2)

mpd, мониторинг интерфейсов ng*, serg2k, 10:49 , 07-Ноя-11, (4)

mpd, мониторинг интерфейсов ng*, sherlock, 14:22 , 07-Ноя-11, (5)

mpd, мониторинг интерфейсов ng*, serg2k, 14:38 , 07-Ноя-11, (6)

mpd, мониторинг интерфейсов ng*, sherlock, 05:43 , 08-Ноя-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от Pahanivo (ok) on 06-Ноя-11, 23:32

> через какой то из ng интерфейсов идут днс запросы от фиктивного ip
фильтровать? не?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от serg2k (ok) on 07-Ноя-11, 10:45

>> через какой то из ng интерфейсов идут днс запросы от фиктивного ip
> фильтровать? не?
Все не отфильтруешь.
А если этот фиктивный адрес будет адресом другого пользователя?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от sherlock (ok) on 07-Ноя-11, 08:35

>[оверквотинг удален]
> named[1030]: client 10.64.64.64#3087: error sending response: network unreachable
> единственный способ вычисления паразита, который я знаю - делать подряд
> tcpdump -i ng0
> tcpdump -i ng1
> ...
> tcpdump -i ngXXX,
> но т.к. интерфейсов более 600, то это не очень удобно
> Прошу помочь с поиском других вариантов. Нужно получить либо номер ng интерфейса,
> либо мак адрес злоумышленника.
> PS: днс это как пример, бывают и другие нехорошести, которые желательно выявлять.
Другие нехорошести в студию :-)
а по первой могу предположить следующую ситуацию, клиент работает, работает, общается с DNS и раз, отвалился, а DNS сервер пытается ему ответить на последний запрос. Проанализируйте какие IP выдаются клиентам и куда пойдет ответ на запрос клиента, если этот IP пропал из таблицы маршрутизации сервера.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от serg2k (ok) on 07-Ноя-11, 10:49

>[оверквотинг удален]
>> единственный способ вычисления паразита, который я знаю - делать подряд
>> tcpdump -i ng0
>> tcpdump -i ng1
>> ...
>> tcpdump -i ngXXX,
>> но т.к. интерфейсов более 600, то это не очень удобно
>> Прошу помочь с поиском других вариантов. Нужно получить либо номер ng интерфейса,
>> либо мак адрес злоумышленника.
>> PS: днс это как пример, бывают и другие нехорошести, которые желательно выявлять.
> Другие нехорошести в студию :-)
например, вирус флудящий под фиктивным ip адресом, да и вообще любой флуд направленый на сервер (не выходящий на внешний интерфейс)
> а по первой могу предположить следующую ситуацию, клиент работает, работает, общается с
> DNS и раз, отвалился, а DNS сервер пытается ему ответить на
> последний запрос. Проанализируйте какие IP выдаются клиентам и куда пойдет ответ
> на запрос клиента, если этот IP пропал из таблицы маршрутизации сервера.
сообщения появлялись несколько раз в минуту в течении пары часов
причем трафик точно приходит с ng*, т.к. tcpdump -i em* не видит этого трафика, это спокойно может быть неправильно настроенный роутер пользователя, у которого настроена внутренняя сеть 10.64.64 и пакеты внутренней сети проходят через pppoe тунель на сервер
в любом случае мы уходим от темы

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от sherlock (ok) on 07-Ноя-11, 14:22

>>[оверквотинг удален]
>> Другие нехорошести в студию :-)
> например, вирус флудящий под фиктивным ip адресом, да и вообще любой флуд
> направленый на сервер (не выходящий на внешний интерфейс)
да ну и фиг бы с ним, это проблемы пользователя
запишите такое правило, раз так терзают сомнения
deny ip from not VPNNet to any in via ng*
VPNNet - это подсеть с Вашими IP адресами, которые вы выдаете клиентам, если этот "фиктивный" IP из Вашей подсети, то тогда играйтесь скриптами MPD, который бы при подключении клиента добавлял в фаер правила, при отключении удалял
>> а по первой могу предположить следующую ситуацию, клиент работает, работает, общается с
>> DNS и раз, отвалился, а DNS сервер пытается ему ответить на
>> последний запрос. Проанализируйте какие IP выдаются клиентам и куда пойдет ответ
>> на запрос клиента, если этот IP пропал из таблицы маршрутизации сервера.
> сообщения появлялись несколько раз в минуту в течении пары часов
у меня они постоянно валятся, особенно когда по OSPF на несколько сек отваливается маршрут на целую подсеть, пока не перестроится, не обращаю внимание

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от serg2k (ok) on 07-Ноя-11, 14:38

>>>[оверквотинг удален]
>>> Другие нехорошести в студию :-)
>> например, вирус флудящий под фиктивным ip адресом, да и вообще любой флуд
>> направленый на сервер (не выходящий на внешний интерфейс)
> да ну и фиг бы с ним, это проблемы пользователя
> запишите такое правило, раз так терзают сомнения
> deny ip from not VPNNet to any in via ng*
> VPNNet - это подсеть с Вашими IP адресами, которые вы выдаете клиентам,
а что делать с самим фактом флуда, который напрягает mpd?
При эпидемии это серьезная нагрузка.
Кстати, Вы сами это правило используете?
deny ip from not VPNNet to any in via ng*

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "mpd, мониторинг интерфейсов ng*" +/–

Сообщение от sherlock (ok) on 08-Ноя-11, 05:43

> а что делать с самим фактом флуда, который напрягает mpd?
> При эпидемии это серьезная нагрузка.
Если напрягает, то конечно надо бороться

> Кстати, Вы сами это правило используете?
> deny ip from not VPNNet to any in via ng*
нет, у меня нет такой проблемы, я ж не провайдер, а на корпоративных компах вирусов нет, ну или почти нет, т.к. с ними борятся специализированные люди

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. *"mpd, мониторинг интерфейсов ng"**	+/–
Сообщение от Pahanivo (ok) on 06-Ноя-11, 23:32
> через какой то из ng интерфейсов идут днс запросы от фиктивного ip фильтровать? не?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. *"mpd, мониторинг интерфейсов ng"**	+/–
	Сообщение от serg2k (ok) on 07-Ноя-11, 10:45
	>> через какой то из ng интерфейсов идут днс запросы от фиктивного ip > фильтровать? не? Все не отфильтруешь. А если этот фиктивный адрес будет адресом другого пользователя?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. *"mpd, мониторинг интерфейсов ng"**	+/–
Сообщение от sherlock (ok) on 07-Ноя-11, 08:35
>[оверквотинг удален] > named[1030]: client 10.64.64.64#3087: error sending response: network unreachable > единственный способ вычисления паразита, который я знаю - делать подряд > tcpdump -i ng0 > tcpdump -i ng1 > ... > tcpdump -i ngXXX, > но т.к. интерфейсов более 600, то это не очень удобно > Прошу помочь с поиском других вариантов. Нужно получить либо номер ng интерфейса, > либо мак адрес злоумышленника. > PS: днс это как пример, бывают и другие нехорошести, которые желательно выявлять. Другие нехорошести в студию :-) а по первой могу предположить следующую ситуацию, клиент работает, работает, общается с DNS и раз, отвалился, а DNS сервер пытается ему ответить на последний запрос. Проанализируйте какие IP выдаются клиентам и куда пойдет ответ на запрос клиента, если этот IP пропал из таблицы маршрутизации сервера.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. *"mpd, мониторинг интерфейсов ng"**	+/–
	Сообщение от serg2k (ok) on 07-Ноя-11, 10:49
	>[оверквотинг удален] >> единственный способ вычисления паразита, который я знаю - делать подряд >> tcpdump -i ng0 >> tcpdump -i ng1 >> ... >> tcpdump -i ngXXX, >> но т.к. интерфейсов более 600, то это не очень удобно >> Прошу помочь с поиском других вариантов. Нужно получить либо номер ng интерфейса, >> либо мак адрес злоумышленника. >> PS: днс это как пример, бывают и другие нехорошести, которые желательно выявлять. > Другие нехорошести в студию :-) например, вирус флудящий под фиктивным ip адресом, да и вообще любой флуд направленый на сервер (не выходящий на внешний интерфейс) > а по первой могу предположить следующую ситуацию, клиент работает, работает, общается с > DNS и раз, отвалился, а DNS сервер пытается ему ответить на > последний запрос. Проанализируйте какие IP выдаются клиентам и куда пойдет ответ > на запрос клиента, если этот IP пропал из таблицы маршрутизации сервера. сообщения появлялись несколько раз в минуту в течении пары часов причем трафик точно приходит с ng, т.к. tcpdump -i em не видит этого трафика, это спокойно может быть неправильно настроенный роутер пользователя, у которого настроена внутренняя сеть 10.64.64 и пакеты внутренней сети проходят через pppoe тунель на сервер в любом случае мы уходим от темы
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. *"mpd, мониторинг интерфейсов ng"**	+/–
	Сообщение от sherlock (ok) on 07-Ноя-11, 14:22
	>>[оверквотинг удален] >> Другие нехорошести в студию :-) > например, вирус флудящий под фиктивным ip адресом, да и вообще любой флуд > направленый на сервер (не выходящий на внешний интерфейс) да ну и фиг бы с ним, это проблемы пользователя запишите такое правило, раз так терзают сомнения deny ip from not VPNNet to any in via ng* VPNNet - это подсеть с Вашими IP адресами, которые вы выдаете клиентам, если этот "фиктивный" IP из Вашей подсети, то тогда играйтесь скриптами MPD, который бы при подключении клиента добавлял в фаер правила, при отключении удалял >> а по первой могу предположить следующую ситуацию, клиент работает, работает, общается с >> DNS и раз, отвалился, а DNS сервер пытается ему ответить на >> последний запрос. Проанализируйте какие IP выдаются клиентам и куда пойдет ответ >> на запрос клиента, если этот IP пропал из таблицы маршрутизации сервера. > сообщения появлялись несколько раз в минуту в течении пары часов у меня они постоянно валятся, особенно когда по OSPF на несколько сек отваливается маршрут на целую подсеть, пока не перестроится, не обращаю внимание
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. *"mpd, мониторинг интерфейсов ng"**	+/–
	Сообщение от serg2k (ok) on 07-Ноя-11, 14:38
	>>>[оверквотинг удален] >>> Другие нехорошести в студию :-) >> например, вирус флудящий под фиктивным ip адресом, да и вообще любой флуд >> направленый на сервер (не выходящий на внешний интерфейс) > да ну и фиг бы с ним, это проблемы пользователя > запишите такое правило, раз так терзают сомнения > deny ip from not VPNNet to any in via ng* > VPNNet - это подсеть с Вашими IP адресами, которые вы выдаете клиентам, а что делать с самим фактом флуда, который напрягает mpd? При эпидемии это серьезная нагрузка. Кстати, Вы сами это правило используете? deny ip from not VPNNet to any in via ng*
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. *"mpd, мониторинг интерфейсов ng"**	+/–
	Сообщение от sherlock (ok) on 08-Ноя-11, 05:43
	> а что делать с самим фактом флуда, который напрягает mpd? > При эпидемии это серьезная нагрузка. Если напрягает, то конечно надо бороться > Кстати, Вы сами это правило используете? > deny ip from not VPNNet to any in via ng* нет, у меня нет такой проблемы, я ж не провайдер, а на корпоративных компах вирусов нет, ну или почти нет, т.к. с ними борятся специализированные люди
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору