URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 15771
[ Назад ]

Исходное сообщение
"Гм.. атака на сервер ?"
Отправлено Андрей , 06-Апр-02 14:38

Сегодня столкнулся с проблемой:
из внутренней сетки пинали на сервер по 139 порту слишком много данных - глядел по tcpdump
и вообщем-то вроде как ничего,
но после окончания этого с этого внутреннего адреса с сервера ничего не ходит - он молчит..
если пинг из внутренней сетки, то все нормально, если с сервера - нифига.. во время пинга глядет tcpdump - запрос уходит, ответ приходит... но ping этот ответ не воспринимает..:(
ну и вообщем-то после этого прокся squid например, которая сидит на этом адресе , не ловила запросы на соединение.. т.е. после этого все сервисы на этом адресе отрубились.. причем, если с сервера послать запрос например к проксе, то все пучком..
т.е. грабли были где-то до этого..может быть в стеке
Ну и вопрос - кто-нить сталкивался с этим ? Если да, то объясните всю суть этого ?
система slackware 8.0 kernel 2.2.19

Содержание

RE: Гм.. атака на сервер ?,Рза, 17:55 , 06-Апр-02
- RE: Гм.. атака на сервер ?,Андрей, 08:10 , 08-Апр-02
  - RE: Гм.. атака на сервер ?,Андрей, 08:23 , 08-Апр-02
    - RE: Гм.. атака на сервер ?,Medlar, 14:24 , 08-Апр-02
      - Вдогонку,Medlar, 15:04 , 08-Апр-02
        
        RE: Вдогонку,Андрей, 15:17 , 08-Апр-02

Сообщения в этом обсуждении

"RE: Гм.. атака на сервер ?"
Отправлено Рза , 06-Апр-02 17:55

Ничего страшного обыкновенный DoS. Настрой ipchains и всё будет ок.

"RE: Гм.. атака на сервер ?"
Отправлено Андрей , 08-Апр-02 08:10

>Ничего страшного обыкновенный DoS. Настрой ipchains
>и всё будет ок.
Стало быть система уязмима по этому поводу ?
И еще - 139 порт у меня закрыт... нет там сервисов.

"RE: Гм.. атака на сервер ?"
Отправлено Андрей , 08-Апр-02 08:23

И еще, а кто мешает провести эту атаку на любой легальный порт ? Например, на открытый порт под прокси ?
в этом случае ipchains видимо не спасет...

"RE: Гм.. атака на сервер ?"
Отправлено Medlar , 08-Апр-02 14:24

1.В этом случае спасет iptables
Он позволяет ограничивать число соединений с конкретным портом
2. Если сервис подлежит запуску с.п. xinetd,
то и там есть возможность ограничений соединений с одного ip или на конкретный порт
3. При сборке ядра не мешает обратить внимание на
опцию tcp/ip syncookie support (от syn-flood'a)
Меня однажды эта опция спасла, вернее мой почтовик, когда на него свалилось 10тыс. писем :)
Несмотря на значительное замедление работы, сервер продолжал работать и принимать/посылать почту моих юзеров.
4. Ну и рortsentry в стороне не останется, я думаю, в случае syn-flooda, тоже своего рода DoS-атака

"Вдогонку"
Отправлено Medlar , 08-Апр-02 15:04

http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filt...
здесь есть конкретные примеры настройки iptables
для отражения DoS-атак
Только применять нужно вдумчиво, у меня, например, после точного коирования этих заготовок на почтовик любое pop3-содинение воспринималось как
ping_of_death, а еще smtp-cоединение - как stealh scan & syn-flood.

"RE: Вдогонку"
Отправлено Андрей , 08-Апр-02 15:17

Ну с этим все вроде как понятно, как бороться (надеюсь)
Но фокус был в том, что 139 порт у меня закрыт,
точнее никакого сервиса нет на нем.
Стало быть после этого отрубился сам стек или еще что...
Но ведь такого рода атаки уже давно известны, и вроде как ядро должно быть написано с учетом этого.
Все фичи, которые есть в ядре я установил ( ну типа дефрагментации пакетов и т.д.)