Главная страница
О проекте Навигация Контакт
Поиск


ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Ilia Sprite                          2:5080/112.7   13 Mar 2001  14:08:18
 To : All
 Subject : FYI: Борьба с флудом!
 -------------------------------------------------------------------------------- 
 
 * Forwarded by Ilia Sprite (2:5080/112.7)
 * Area : RU.CISCO (RU.CISCO received from 2:5080/112 on 10 Feb)
 * From : Sergey Goncharov, 2:5020/400 (Monday March 12 2001 20:58)
 * To   : All
 * Subj : Re: Борьба с флудом!
 =============================================================================
 From: "Sergey Goncharov" <maestro@datacom.natm.ru>
 
 Mike V. Kamyshev пишет в сообщении <98ic5o$5dm$1@news247.cnt.ru> ...
 
 >Есть большая проблема. Hа протяжении уже нескольких дней с двух хостов в
 
 мою
 
 >сеть идет огромный трафик. Входящий траффик возрос на 60%. Вот вырезка из
 >логов киски:
 >---Cut---
 >Mar 12 14:03:01 Mg3620 7350: %SEC-6-IPACCESSLOGDP: list 101 denied icmp
 >207.12.112.131 -> 212.11.193.21 (8/0), 295 packets
 
 ...
 
 >Mar 12 14:25:01 Mg3620 7455: %SEC-6-IPACCESSLOGDP: list 101 denied icmp
 >198.39.6.166 -> 212.11.193.21 (8/0), 198 packets
 >---Cut---
 >Трафик идет на один и то же ip. Закрытие этих хостов на пограничном роутере
 >ничего не дало. Мы сообщили своему провайдеру (ЦHТ), он обещал помочь
 >разобраться, хотя говорят, что это не их проблема.
 
 Формально - да. Однако клиентов в подобных случаях редко посылают куда
 подальше. Клиентами обычно дорожат :-)
 
 > Возможно что ip с котрых
 >идет флуд, подставные.
 
 Еще как. Мало того, есть еще такая беда: http://www.powertech.no/smurf/
 Там ICMP посылают на бродкастовый адрес. Если по дороге нет фильтра, то
 адресу, указанному как source, мало не покажется. Hу, или твоему каналу :-/
 
 >Как с этим боротся?
 
 Похоже, только просить своего провайдера ставить рогатки (фильтры то бишь) у
 себя. Чем выше, тем лучше.
 
 > Hе может быть чтобы таких
 >прициндентов не было.
 
 В свое время нас бомбили как раз smurf'ом. Мы поставили ACL у себя,
 попросили upstream'а (Ростелеком) сделать то же как можно "выше" нас,
 подсчитали объем дерьма, успевшего-таки до нас долетететь, и написали
 upstream'у официальное письмо с просьбой скостить эти гигабайты (а счет шел
 уже на них :-/) . Проблем не было, скостили.
 
 > Если ЦHТ не захочет принять участие в установлении
 >точного источника атаки, то как быть-то?
 
 Это довольно сложно сделать. Все, что может upstream - это выяснить откуда
 все пришло, и дернуть своего upstream'а или соседа и т. д. Цепочка дотянется
 до какого-нить бэкбона, где и потонет благополучно в общем сумашедшем
 трафике.
 
 - ---
 С уважением, Сергей Гончаров
 ...Daddy In Red...
 -+- ifmail v.2.15dev5
  + Origin: Rostelecom/Internet Centre (2:5020/400)
 =============================================================================
 
 Здравствуйте.
     Tidelly pom...
 --- http://www.securityelf.net
  * Origin: VGA Planets BBS (2:5080/112.7)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 FYI: Борьба с флудом!   Ilia Sprite   13 Mar 2001 14:08:18 
Архивное /ru.nethack/160363aae1bcc.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional