|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Arthur Veles 2:5020/400 13 Jul 2003 20:58:13
To : All
Subject : Flood - атака?
--------------------------------------------------------------------------------
Hello, All!
Требуется помощь, желательно незамедлительная.
Шлюз домашней сетки - FreeBSD 4.8-STABLE, ipfw,
squid, frox-proxy, sendmail, etc - уже который день какая-то
сволочь атакует. Почему я так решил? 300 Мб из 700 Мб
трафика (согласно trafd) за истекшие сутки - на icmp-пакеты.
И эти icmp-пакеты продолжают сыпаться и сегодня. Причем
trafshow и tcpdump показывают что пакеты якобы идут от
провайдера! Т.е. закрыть этот ip на firewall я ессно не могу.
Я не спец в атаках - флуд там или еще какого типа, и не знаю
как с ними бороться, первое что пришло в голову - просто
закрыл прохождение icmp на внешнем интерфейсе. Hо пакеты
продолжают сыпаться все равно. Вот кусок tcpdump -f -v:
....................
03:40:34.682114 193.xxx.xxx.xxx > ourgw.provider.net.ua.: icmp: echo request
(frag 73 41:1480@0+) [ttl 1] (len 1500)
03:40:34.682326 193.xxx.xxx.xxx > ourgw.provider.net.ua.: icmp (frag
7341:548@1480) [ttl 1] (len 568)
....................
Где:
193.ххх.ххх.ххх - шлюз провайдера,
ourgw.provider.net.ua - шлюз сетки.
Что я еще (кроме закрытия icmp) могу сделать? И не может ли
это быть внутренней атакой - в сети идиотов хватает...
--
Arthur Veles
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
