URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47705
[ Назад ]

Исходное сообщение
"IP flood или ХЗ что..."
Отправлено Zyx , 29-Авг-04 16:10

FreeBSD 4.9.
Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло.
Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, и надавать по ушам...
Заранее большое спасибо.

Содержание

IP flood или ХЗ что...,INM, 16:54 , 29-Авг-04
IP flood или ХЗ что...,Grey, 16:57 , 29-Авг-04
- IP flood или ХЗ что...,Zyx, 17:36 , 29-Авг-04
  - IP flood или ХЗ что...,Grey, 18:09 , 29-Авг-04
    - IP flood или ХЗ что...,Zyx, 20:13 , 29-Авг-04
      - IP flood или ХЗ что...,Grey, 20:17 , 29-Авг-04
        
        IP flood или ХЗ что...,Zyx, 20:32 , 29-Авг-04
        
        IP flood или ХЗ что...,tangar, 21:18 , 29-Авг-04

Сообщения в этом обсуждении

"IP flood или ХЗ что..."
Отправлено INM , 29-Авг-04 16:54

>FreeBSD 4.9.
>Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то
>непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с
>вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К
>примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество
>запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж
>на 60%, это на 2.4 проце и люди стали жаловаться на
>скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом
>с самого сервера все нормально качается, хреново только изнутри. В файрволе
>закрыл прохождение запросов этих наружу, не помогло.
>Не подскажете ли, как можно боротся с этим? Или хотя бы как
>вычислить, кто так балуется, и надавать по ушам...
Похоже червяки...., вот им и надавай по ушам....;-)
>Заранее большое спасибо.

"IP flood или ХЗ что..."
Отправлено Grey , 29-Авг-04 16:57

>FreeBSD 4.9.
>Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то
>непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с
>вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К
>примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество
>запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж
>на 60%, это на 2.4 проце и люди стали жаловаться на
>скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом
>с самого сервера все нормально качается, хреново только изнутри. В файрволе
>закрыл прохождение запросов этих наружу, не помогло.
>Не подскажете ли, как можно боротся с этим? Или хотя бы как
>вычислить, кто так балуется, и надавать по ушам...
>Заранее большое спасибо.
случайно не по портам 135-139, 445 ?
если да, то это вирусятник на винде у вас внутри сети.... резать такие пакеты на всех интерфейсах, а источник просто отключать....

"IP flood или ХЗ что..."
Отправлено Zyx , 29-Авг-04 17:36

Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!! Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak s etim borotsja??

"IP flood или ХЗ что..."
Отправлено Grey , 29-Авг-04 18:09

>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s
>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!!
>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s
>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak
>s etim borotsja??
я бы делал примерно так:
1. резать пакеты с несуществующих IP, откладывая в лог и для анализа.
2. попробовать определить MAC адреса источников.
3. отключать если MAC будет определён и источник локализован.

"IP flood или ХЗ что..."
Отправлено Zyx , 29-Авг-04 20:13

>>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s
>>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!!
>>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s
>>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak
>>s etim borotsja??
>
>я бы делал примерно так:
>1. резать пакеты с несуществующих IP, откладывая в лог и для анализа.
>
>2. попробовать определить MAC адреса источников.
>3. отключать если MAC будет определён и источник локализован.
Zamechateljnyj sovet!!:) Pakety s nesushestvujushih adrsov i tak rezu, ne pomogaet. MAC vychislitj eto horosho, imenno ob etom jq i sprashival. Vot toljko KAK??? KAK MAC vychislitj?? Budu blagodaren za bolee menee podrobnuju instrukciju.

"IP flood или ХЗ что..."
Отправлено Grey , 29-Авг-04 20:17

>>>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s
>>>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!!
>>>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s
>>>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak
>>>s etim borotsja??
>>
>>я бы делал примерно так:
>>1. резать пакеты с несуществующих IP, откладывая в лог и для анализа.
>>
>>2. попробовать определить MAC адреса источников.
>>3. отключать если MAC будет определён и источник локализован.
>Zamechateljnyj sovet!!:) Pakety s nesushestvujushih adrsov i tak rezu, ne pomogaet. MAC
>vychislitj eto horosho, imenno ob etom jq i sprashival. Vot toljko
>KAK??? KAK MAC vychislitj?? Budu blagodaren za bolee menee podrobnuju instrukciju.
>
ну тогда ищи оп форуму как сделать привязку IP к MAC... привяжи всех легальных и думаю это поможет...

"IP flood или ХЗ что..."
Отправлено Zyx , 29-Авг-04 20:32

>>>>Net, po 80mu. I imenno na opredelennyj host snaruzi. I imenno s
>>>>RAZNYH IP!! V setke stoljko mashin ne naberetsja... IP rasnyh TYSJACHI!!!
>>>>Eto ktoto specijalno takie pakety kakto delaet, chtoby kazalosj chto s
>>>>raznyh ip:) Na boljshee u menja soobrazenija ne hvtaet:// Vot kak
>>>>s etim borotsja??
>>>
>>>я бы делал примерно так:
>>>1. резать пакеты с несуществующих IP, откладывая в лог и для анализа.
>>>
>>>2. попробовать определить MAC адреса источников.
>>>3. отключать если MAC будет определён и источник локализован.
>>Zamechateljnyj sovet!!:) Pakety s nesushestvujushih adrsov i tak rezu, ne pomogaet. MAC
>>vychislitj eto horosho, imenno ob etom jq i sprashival. Vot toljko
>>KAK??? KAK MAC vychislitj?? Budu blagodaren za bolee menee podrobnuju instrukciju.
>>
>ну тогда ищи оп форуму как сделать привязку IP к MAC... привяжи
>всех легальных и думаю это поможет...
DA privjazano, privjazano! Svjazka DHCP, arp i ipfw och zamechateljno rabotaet. No ne v etom sluchae. Mozet eshe kak mozno privjazatj? Ili po paketu MAC vychislitj?

"IP flood или ХЗ что..."
Отправлено tangar , 29-Авг-04 21:18

Поставь хороший монитор сети, я бы посоветовал Fluke Network Inspector.
Прекрасно показывает смены ip, mac и кучу прочих параметров.