|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Arthur Veles 2:5020/400 13 Jul 2003 22:13:09
To : Spartak Radchenko
Subject : Re: Flood - атака?
--------------------------------------------------------------------------------
Hello, Spartak!
SR> А почему бы им и не сыпаться? AFAIR tcpdump получает пакеты до ipfw.
Я это понимаю, говорю же что закрыл icmp и теперь хотяб ответы мой
подопечный
сервак не шлет врагам. Hе знаю насколько его еще опция ядра вначале атаки
спасла :-) :
options ICMP_BANDLIM
SR> Так ты посмотри для начала с какого интерфейса идут эти пакеты, а то
SR> нифига не понятно. Если с внутреннего - это одна песня, если снаружи
SR> -
SR> совсем другая. А если у твоего шлюза всего один интерфейс - тады
SR> ой...
Идут на внешний интерфейс. Беда в том что и "внутренний" и "внешний"
интерфейсы в один и тот же switch физически воткнуты. И прошу мне не
рассказывать, что это идиотизм - не я топологию придумывал и строил,
мое дело было тут только сервак шлюзовой, под топиком который, настроить
и поддерживать. Поэтому не могу на 100% сказать что адрес, с которого идет
атака, не подменен никем/ничем. Думаю только что точно не с провайдерской
машинки в самом же деле.
SR> Обратиться к провайдеру (если это прёт снаружи). Пусть разбирается.
SR> А закрывать бессмысленно, трафик никуда не денется.
Если б мог его найти, может сюда б не написал... Hету у прова "дежурных
админов"
и прочих красивостей, зато дешевый анлим... :-/
SR> Hу так проверь. tcpdump -i
Да проверял же. И tcpdump и trafshow говорят что внутренний интерфейс никто
не трогает, но ... см. выше....
--
Arthur Veles
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Flood - атака? 