форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Атака меня"
Сообщение от stricty on 06-Авг-03, 12:04  (MSK)
FreeBSD-4.8-STABLE cat /var/log/security Aug  6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443 in via fxp0 (frag 41468:16@0+) И таких 100-и за секунду. На разные порты, с одной подсети. Самое интересное: 00300      94      4715 deny ip from 210.0.0.0/8 to any Это как? И что делать? :((( (лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Атака меня"
Сообщение от denn on 07-Авг-03, 13:02  (MSK)
>FreeBSD-4.8-STABLE >cat /var/log/security > >Aug  6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443 >in via fxp0 (frag 41468:16@0+) > >И таких 100-и за секунду. На разные порты, с одной подсети. >Самое интересное: > >00300      94       >4715 deny ip from 210.0.0.0/8 to any почему /8, глянь на сетку... > >Это как? И что делать? :((( >(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0) лимит поставь 100- ато завалят.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Атака меня"
	Сообщение от stricty on 10-Авг-03, 13:13  (MSK)
	>>FreeBSD-4.8-STABLE >>cat /var/log/security >>Aug  6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443 >>in via fxp0 (frag 41468:16@0+) >>И таких 100-и за секунду. На разные порты, с одной подсети. >>Самое интересное: >>00300      94       >>4715 deny ip from 210.0.0.0/8 to any >почему /8, глянь на сетку... Почему 8?!!! Да потому что даже в голову брать не хочу, где он там ещё что сломал, этот чудо хакер. Он с трёх подсетей /24 из той серии бил. Нафик - корейцы... Ты лучше скажи как такие вещи просекать - не анализатор же логов ipfw писать - машина тогда только собственной защитой и будет заниматься... а на деньги за этот паразитный трафик я себе уже золотую косметичку могла бы купить *:((( >>Это как? И что делать? :((( >>(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0) >лимит поставь 100- ато завалят. Да уж понятно... Но обращений много - в 100 не понять что происходит... вернула через несколько секунд обратно, конечно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Атака меня"
	Сообщение от Zorro on 11-Авг-03, 04:59  (MSK)
	>>>FreeBSD-4.8-STABLE >>>cat /var/log/security >>>Aug  6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443 >>>in via fxp0 (frag 41468:16@0+) >>>И таких 100-и за секунду. На разные порты, с одной подсети. >>>Самое интересное: >>>00300      94       >>>4715 deny ip from 210.0.0.0/8 to any >>почему /8, глянь на сетку... > >Почему 8?!!! Да потому что даже в голову брать не хочу, где >он там ещё что сломал, этот чудо хакер. Он с трёх >подсетей /24 из той серии бил. Нафик - корейцы... Ты лучше >скажи как такие вещи просекать - не анализатор же логов ipfw >писать - машина тогда только собственной защитой и будет заниматься... а >на деньги за этот паразитный трафик я себе уже золотую косметичку >могла бы купить *:((( > >>>Это как? И что делать? :((( >>>(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0) >>лимит поставь 100- ато завалят. > >Да уж понятно... Но обращений много - в 100 не понять что >происходит... вернула через несколько секунд обратно, конечно. Попробуй так : 4715 deny ip from 210.0.0.0/8 to me 4716 deny ip from me to  210.0.0.0/8 С уважением  Zorro
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Атака меня"
	Сообщение от stricty on 11-Авг-03, 10:40  (MSK)
	Поздно. Закрыли всю /8 на свитчах. Да  и вряд ли помогло бы - даже счётчик from 210.0.0.0/8 не работал, а забил он именно входящим трафиком.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Атака меня"
	Сообщение от FF on 19-Авг-03, 14:28  (MSK)
	в man ipfw написанно в FINE POINTS Another type of packet is unconditionally dropped, a TCP packet with a fragment offset of one.  This is a valid packet, but it only has one use, to try to circumvent firewalls.  When logging is enabled, these packets are reported as being dropped by rule -1. И более ни чего, что с этим делать самому интерестно, сбрасываються они как я понял до обработки правил, так что правилами хрен отделаешься, как заставить машину их не принемать, не рубя что-то полезное вот в чем вопрос ... Наверно только если на корею Нейтронную бомбу бросить, да и то другие умники найдуться Люди посоветуйте чего нибудь дельное?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Атака меня"
	Сообщение от stricty on 19-Авг-03, 14:49  (MSK)
	О! Спасибочки! *:) То самое.... Они и так не принимаются - вопрос в том, что как их обнаружить без logging'а - когда атакуют, оный loggig может и машину положить...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Атака меня"
	Сообщение от Zorro on 20-Авг-03, 03:13  (MSK)
	>О! Спасибочки! *:) >То самое.... >Они и так не принимаются - вопрос в том, что как их >обнаружить без logging'а - когда атакуют, оный loggig может и машину >положить... Что бы логи машину не ложили нужно ставить предел вместимости.. :-)) Что бы мониторить без логов.. ставь снифер.. :-)) А что бы обмануть всех.. закрой все  ICMP .... тогда при сканировании у тебя даже пинга не будет.. тебя в сети видно не будет.. и никто тебя не будет бомбить... :-))) ... Если есть вопросы ICQ 107732316 ..... С уважением Zorro
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Атака меня"
	Сообщение от Mikhail on 20-Авг-03, 09:47  (MSK)
	>А что бы обмануть всех.. закрой все  ICMP Не все. Обычно для нормальной работы требуется оставить icmp-type 0, 3, 11, 12 на вход и  8, 3 , 11, 12 на выход (как минимум).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Атака меня"
	Сообщение от 2vl on 21-Авг-03, 16:12  (MSK)
	согласен, нельзя тупо прикрыть все ICMP.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Атака меня"
	Сообщение от stricty on 20-Авг-03, 10:39  (MSK)
	>>То самое.... >>Они и так не принимаются - вопрос в том, что как их >>обнаружить без logging'а - когда атакуют, оный loggig может и машину >>положить... >Что бы мониторить без логов.. ставь снифер.. :-)) Не... мониторить снифером - тогда машина при моём потоке трафика только снифингом и будет заниматься :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Атака меня"
	Сообщение от Fly Fox on 20-Авг-03, 11:20  (MSK)
	Рано или позно если хоть какой нибудь полезный трафик идет машину все равно найдут, не ее так за ней, и так до клиента...      ICMP закрывать всю вообще глупость, я думаю можно только на каждом входящем канале, в самом начале держать сверх секъюрную машину, невидную снаруже не чем, ни кому о ней не говорить, и вообще на ней не одного порта не открывать(а во внутрь 22 и то только для избранных) и на остальных не падучие анализаторы, которые той машинке и скажут чаго рубить (свичами в ручную скучно), только у меня это упирается в политику компании 8(, а снифовую машину все равно отдельно держать обычно приходиться, трафика действитель до ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Атака меня"
	Сообщение от Zorro on 21-Авг-03, 07:28  (MSK)
	я думаю >можно только на каждом входящем канале, в самом начале держать сверх >секъюрную машину, невидную снаруже не чем, ни кому о ней не >говорить, и вообще на ней не одного порта не открывать(а во >внутрь 22 и то только для избранных) :-))) Стоит у меня одна такая.. видная с наружи.. .. и даже пера сервисов открыто.. :-))) ... Но кто только не пробовал долбить.. бесполезно...  стена... Тут дело все в настройках..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Атака меня"
	Сообщение от stricty on 21-Авг-03, 17:11  (MSK)
	>я думаю >>можно только на каждом входящем канале, в самом начале держать сверх >>секъюрную машину, невидную снаруже не чем, ни кому о ней не >>говорить, и вообще на ней не одного порта не открывать(а во >>внутрь 22 и то только для избранных) >:-))) Стоит у меня одна такая.. видная с наружи.. .. и даже >пера сервисов открыто.. :-))) ... Но кто только не пробовал долбить.. >бесполезно...  стена... >Тут дело все в настройках.. да машину-то не сломали - на трафик здорово подсадили... а сразу и не заметили - firewall ведь молчит как немой...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Атака меня"
	Сообщение от Fly Fox on 21-Авг-03, 19:11  (MSK)
	>>я думаю >>>можно только на каждом входящем канале, в самом начале держать сверх >>>секъюрную машину, невидную снаруже не чем, ни кому о ней не >>>говорить, и вообще на ней не одного порта не открывать(а во >>>внутрь 22 и то только для избранных) >>:-))) Стоит у меня одна такая.. видная с наружи.. .. и даже >>пера сервисов открыто.. :-))) ... Но кто только не пробовал долбить.. >>бесполезно...  стена... >>Тут дело все в настройках.. > >да машину-то не сломали - на трафик здорово подсадили... а сразу и >не заметили - firewall ведь молчит как немой... Я не это имел ввиду, если держать машину, прямо после входа канала, и о ней не кто не будет знать, левый трафик там можно "поглощать", и всегда ее трафик можно аргументированно оспорить с ISP... предупреждая, что это несколько и их проблема.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Атака меня"
	Сообщение от butcher on 21-Авг-03, 19:43  (MSK)
	Народ, чё вы в самом деле? Проги для сети ни разу не писали чтоли? Если на вас захотят нагнать траффик, ничто вас не спасёт, только ваш провайдер и всё.. ну разве что ещё провайдер того кто этот траффик гонит (если это не распределённая система).. 2Zorro: никаие правила файрвола тебя не спасут, так что закрывайся не закрывайся, это тебе не поможет, протокол UDP не требует установления соединения, а написать генератор пакетов, много ума не надо, пакеты в любом случае будут до тебя доходить, только если твой пров, канал не вырубит или фильтры не настроит, так что.. Контактируйте с провайдерами, иного выхода нету..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Атака меня"
	Сообщение от 8thc on 21-Авг-03, 19:50  (MSK)
	>Народ, чё вы в самом деле? Проги для сети ни разу не >писали чтоли? Если на вас захотят нагнать траффик, ничто вас не >спасёт, только ваш провайдер и всё.. ну разве что ещё провайдер >того кто этот траффик гонит (если это не распределённая система).. >2Zorro: >никаие правила файрвола тебя не спасут, так что закрывайся не закрывайся, это >тебе не поможет, протокол UDP не требует установления соединения, а написать >генератор пакетов, много ума не надо, пакеты в любом случае будут >до тебя доходить, только если твой пров, канал не вырубит или >фильтры не настроит, так что.. >Контактируйте с провайдерами, иного выхода нету.. Первое умное высказывание в этом долгом нудном бессмысленном треде
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Атака меня"
	Сообщение от Ldar on 19-Сен-03, 07:49  (MSK)
	.. > >да машину-то не сломали - на трафик здорово подсадили... а сразу и >не заметили - firewall ведь молчит как немой... Ну вообще то он не молчит ... нужно соответствующим образом syslog настроить на машину админа а там пости его чем нить вроде swatch, которая пасет лог файл, и соответственно реагирует на какие нибудь события согласно своему файлу конфигурации...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Атака меня"
	Сообщение от alex09 on 20-Сен-03, 11:17  (MSK)
	с провайдером связываться нужно...и не трахать свой мозг
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.