FreeBSD-4.8-STABLE
cat /var/log/securityAug 6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443 in via fxp0 (frag 41468:16@0+)
И таких 100-и за секунду. На разные порты, с одной подсети.
Самое интересное:00300 94 4715 deny ip from 210.0.0.0/8 to any
Это как? И что делать? :(((
(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0)
>FreeBSD-4.8-STABLE
>cat /var/log/security
>
>Aug 6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443
>in via fxp0 (frag 41468:16@0+)
>
>И таких 100-и за секунду. На разные порты, с одной подсети.
>Самое интересное:
>
>00300 94
>4715 deny ip from 210.0.0.0/8 to any
почему /8, глянь на сетку...
>
>Это как? И что делать? :(((
>(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0)лимит поставь 100- ато завалят.
>>FreeBSD-4.8-STABLE
>>cat /var/log/security
>>Aug 6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443
>>in via fxp0 (frag 41468:16@0+)
>>И таких 100-и за секунду. На разные порты, с одной подсети.
>>Самое интересное:
>>00300 94
>>4715 deny ip from 210.0.0.0/8 to any
>почему /8, глянь на сетку...Почему 8?!!! Да потому что даже в голову брать не хочу, где он там ещё что сломал, этот чудо хакер. Он с трёх подсетей /24 из той серии бил. Нафик - корейцы... Ты лучше скажи как такие вещи просекать - не анализатор же логов ipfw писать - машина тогда только собственной защитой и будет заниматься... а на деньги за этот паразитный трафик я себе уже золотую косметичку могла бы купить *:(((
>>Это как? И что делать? :(((
>>(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0)
>лимит поставь 100- ато завалят.Да уж понятно... Но обращений много - в 100 не понять что происходит... вернула через несколько секунд обратно, конечно.
>>>FreeBSD-4.8-STABLE
>>>cat /var/log/security
>>>Aug 6 11:55:11 elm /kernel: ipfw: -1 Refuse TCP 210.98.171.216:48960 195.161.118.204:443
>>>in via fxp0 (frag 41468:16@0+)
>>>И таких 100-и за секунду. На разные порты, с одной подсети.
>>>Самое интересное:
>>>00300 94
>>>4715 deny ip from 210.0.0.0/8 to any
>>почему /8, глянь на сетку...
>
>Почему 8?!!! Да потому что даже в голову брать не хочу, где
>он там ещё что сломал, этот чудо хакер. Он с трёх
>подсетей /24 из той серии бил. Нафик - корейцы... Ты лучше
>скажи как такие вещи просекать - не анализатор же логов ipfw
>писать - машина тогда только собственной защитой и будет заниматься... а
>на деньги за этот паразитный трафик я себе уже золотую косметичку
>могла бы купить *:(((
>
>>>Это как? И что делать? :(((
>>>(лог в security получила поставив sysctl net.inet.ip.fw.verbose_limit=0)
>>лимит поставь 100- ато завалят.
>
>Да уж понятно... Но обращений много - в 100 не понять что
>происходит... вернула через несколько секунд обратно, конечно.Попробуй так :
4715 deny ip from 210.0.0.0/8 to me
4716 deny ip from me to 210.0.0.0/8С уважением Zorro
Поздно. Закрыли всю /8 на свитчах. Да и вряд ли помогло бы - даже счётчик from 210.0.0.0/8 не работал, а забил он именно входящим трафиком.
в man ipfw
написанно в FINE POINTS
Another type of packet is unconditionally dropped, a TCP packet with
a fragment offset of one. This is a valid packet, but it only has
one use, to try to circumvent firewalls. When logging is enabled,
these packets are reported as being dropped by rule -1.И более ни чего, что с этим делать самому интерестно, сбрасываються они как я понял до обработки правил, так что правилами хрен отделаешься, как заставить машину их не принемать, не рубя что-то полезное вот в чем вопрос ...
Наверно только если на корею Нейтронную бомбу бросить, да и то другие умники найдуться
Люди посоветуйте чего нибудь дельное?
О! Спасибочки! *:)
То самое....
Они и так не принимаются - вопрос в том, что как их обнаружить без logging'а - когда атакуют, оный loggig может и машину положить...
>О! Спасибочки! *:)
>То самое....
>Они и так не принимаются - вопрос в том, что как их
>обнаружить без logging'а - когда атакуют, оный loggig может и машину
>положить...
Что бы логи машину не ложили нужно ставить предел вместимости.. :-))
Что бы мониторить без логов.. ставь снифер.. :-))
А что бы обмануть всех.. закрой все ICMP .... тогда при сканировании у тебя даже пинга не будет.. тебя в сети видно не будет.. и никто тебя не будет бомбить... :-))) ...
Если есть вопросы ICQ 107732316 .....С уважением Zorro
>А что бы обмануть всех.. закрой все ICMP
Не все. Обычно для нормальной работы требуется оставить
icmp-type 0, 3, 11, 12 на вход и 8, 3 , 11, 12 на выход (как минимум).
согласен, нельзя тупо прикрыть все ICMP.
>>То самое....
>>Они и так не принимаются - вопрос в том, что как их
>>обнаружить без logging'а - когда атакуют, оный loggig может и машину
>>положить...
>Что бы мониторить без логов.. ставь снифер.. :-))Не... мониторить снифером - тогда машина при моём потоке трафика только снифингом и будет заниматься :(
Рано или позно если хоть какой нибудь полезный трафик идет машину все равно найдут, не ее так за ней, и так до клиента...
ICMP закрывать всю вообще глупость, я думаю можно только на каждом входящем канале, в самом начале держать сверх секъюрную машину, невидную снаруже не чем, ни кому о ней не говорить, и вообще на ней не одного порта не открывать(а во внутрь 22 и то только для избранных) и на остальных не падучие анализаторы, которые той машинке и скажут чаго рубить (свичами в ручную скучно), только у меня это упирается в политику компании 8(, а снифовую машину все равно отдельно держать обычно приходиться, трафика действитель до ...
я думаю
>можно только на каждом входящем канале, в самом начале держать сверх
>секъюрную машину, невидную снаруже не чем, ни кому о ней не
>говорить, и вообще на ней не одного порта не открывать(а во
>внутрь 22 и то только для избранных):-))) Стоит у меня одна такая.. видная с наружи.. .. и даже пера сервисов открыто.. :-))) ... Но кто только не пробовал долбить.. бесполезно... стена...
Тут дело все в настройках..
>я думаю
>>можно только на каждом входящем канале, в самом начале держать сверх
>>секъюрную машину, невидную снаруже не чем, ни кому о ней не
>>говорить, и вообще на ней не одного порта не открывать(а во
>>внутрь 22 и то только для избранных)
>:-))) Стоит у меня одна такая.. видная с наружи.. .. и даже
>пера сервисов открыто.. :-))) ... Но кто только не пробовал долбить..
>бесполезно... стена...
>Тут дело все в настройках..да машину-то не сломали - на трафик здорово подсадили... а сразу и не заметили - firewall ведь молчит как немой...
>>я думаю
>>>можно только на каждом входящем канале, в самом начале держать сверх
>>>секъюрную машину, невидную снаруже не чем, ни кому о ней не
>>>говорить, и вообще на ней не одного порта не открывать(а во
>>>внутрь 22 и то только для избранных)
>>:-))) Стоит у меня одна такая.. видная с наружи.. .. и даже
>>пера сервисов открыто.. :-))) ... Но кто только не пробовал долбить..
>>бесполезно... стена...
>>Тут дело все в настройках..
>
>да машину-то не сломали - на трафик здорово подсадили... а сразу и
>не заметили - firewall ведь молчит как немой...
Я не это имел ввиду, если держать машину, прямо после входа канала, и о ней не кто не будет знать, левый трафик там можно "поглощать", и всегда ее трафик можно аргументированно оспорить с ISP... предупреждая, что это несколько и их проблема.
Народ, чё вы в самом деле? Проги для сети ни разу не писали чтоли? Если на вас захотят нагнать траффик, ничто вас не спасёт, только ваш провайдер и всё.. ну разве что ещё провайдер того кто этот траффик гонит (если это не распределённая система)..
2Zorro:
никаие правила файрвола тебя не спасут, так что закрывайся не закрывайся, это тебе не поможет, протокол UDP не требует установления соединения, а написать генератор пакетов, много ума не надо, пакеты в любом случае будут до тебя доходить, только если твой пров, канал не вырубит или фильтры не настроит, так что..
Контактируйте с провайдерами, иного выхода нету..
>Народ, чё вы в самом деле? Проги для сети ни разу не
>писали чтоли? Если на вас захотят нагнать траффик, ничто вас не
>спасёт, только ваш провайдер и всё.. ну разве что ещё провайдер
>того кто этот траффик гонит (если это не распределённая система)..
>2Zorro:
>никаие правила файрвола тебя не спасут, так что закрывайся не закрывайся, это
>тебе не поможет, протокол UDP не требует установления соединения, а написать
>генератор пакетов, много ума не надо, пакеты в любом случае будут
>до тебя доходить, только если твой пров, канал не вырубит или
>фильтры не настроит, так что..
>Контактируйте с провайдерами, иного выхода нету..
Первое умное высказывание в этом долгом нудном бессмысленном треде
..
>
>да машину-то не сломали - на трафик здорово подсадили... а сразу и
>не заметили - firewall ведь молчит как немой...Ну вообще то он не молчит ... нужно соответствующим образом syslog настроить на машину админа а там пости его чем нить вроде swatch, которая пасет лог файл, и соответственно реагирует на какие нибудь события согласно своему файлу конфигурации...
с провайдером связываться нужно...и не трахать свой мозг