Alesss Posted November 24, 2005 Posted November 24, 2005 Народ, выручайте, первый раз такой геморрой. Сетка начала падать пару недель назад, причем вся сеть сразу. На свичах постоянно горят лампы, утилизация под 100%. Глянул анализатором идет атака SYN FLOOD на реальные IP у меня в сети. Сурс адрес подделан. Выдергиваю шнурок в Инет, иногда помогает иногда нет. Решил искать по абонентам. Началась полная Ж: выключаю любой порт на любом коммутаторе атака останавливается, через пару минут снова начинается. Клиенты у меня сидят с реальниками, половина за D-Link 604, еще часть за своими серваками, есть и просто компы. Понимаю, что где-то засел вирус, но как его вычислить? Вставить ник Quote
repa Posted November 24, 2005 Posted November 24, 2005 Нужно либо лечить машины, либо фильтровать трафик на входе в коммутатор. Вставить ник Quote
bone Posted November 24, 2005 Posted November 24, 2005 У нас была похожая проблема. Не только syn-флуд, но и все другие виды флуда. Решили так: поставили специальный компьютер, единственная задача которого - отлавливать флуд и блокировать клиента на порту коммутатора. С тех пор, все спокойно. Вставить ник Quote
Alesss Posted November 24, 2005 Author Posted November 24, 2005 Дык не получается отловить то.... Вставить ник Quote
repa Posted November 24, 2005 Posted November 24, 2005 Подставляется, наверника, фальшивый IP адрес? МАС адрес, скорей всего, реальный... Посмотрите MAC-и, а потом искать в комутаторе на каком порту. Вставить ник Quote
Alesss Posted November 24, 2005 Author Posted November 24, 2005 У меня стоит 2 роутера на одном канале (не спрашивайте зачем). FreeBSD и Cisco. Так вот анализатор показывает их маки. Айпи разные а маки их... Вставить ник Quote
bone Posted November 25, 2005 Posted November 25, 2005 Подставляется, наверника, фальшивый IP адрес? Для этого существует привязка IP-к МАКу. Вставить ник Quote
Alesss Posted November 25, 2005 Author Posted November 25, 2005 Еще раз: IP-адреса разные (подставные), МАКи маршрутизаторов, за маршрутизаторами интернет. Повсему выглядит что атака из инета, однако при отключениии внутренних интерфейсов роутеров атака все равно продолжается... Я ваще ниче не понимаю Вставить ник Quote
repa Posted November 25, 2005 Posted November 25, 2005 Раз атака из инета, то можно только обращаться к своему интернет оператору и решать с ним проблему. Я бы предложил вам поменять блок адресов выделеных вам. Вставить ник Quote
Nailer Posted November 25, 2005 Posted November 25, 2005 Еще раз: IP-адреса разные (подставные), МАКи маршрутизаторов, за маршрутизаторами интернет. Повсему выглядит что атака из инета, однако при отключениии внутренних интерфейсов роутеров атака все равно продолжается... Я ваще ниче не понимаю MAC-и в пакетах также легко подделываются, как и IP. Смотрите по свитчам, откуда идет поток. Или просто отрывайте аплинки из свитчей. Вставить ник Quote
ToNick Posted November 25, 2005 Posted November 25, 2005 Погоди если идет SYN FLOOD то падать должна не только сетка но и машины в ней...а такое происходит? Вставить ник Quote
Alesss Posted November 25, 2005 Author Posted November 25, 2005 Смотрите по свитчам, откуда идет поток. Или просто отрывайте аплинки из свитчей. Во время атаки загрузка ВСЕХ свичей под 100%. Вычислить нереально... Погоди если идет SYN FLOOD то падать должна не только сетка но и машины в ней...а такое происходит? Нет информации... Вставить ник Quote
ToNick Posted November 25, 2005 Posted November 25, 2005 Я не думаю что это атака из инета ..так нагрузить свитчи я думаю не реально... атака идет изнутри....но для этого должно быть заражено очень много компьтеров....и если как ты говоришь выдергиваешь хвост из любого порта атака прекращается, а потом продолжается то это может быть вот так... Предположим что зараженные машины шлют соседям (поочереди) кучу запросов и естесно ждут ответа полосу пропускания это может забить насмерть..а когда ты выдергиваешь хвост..то какая та машина перестает отвечать ...а злодеи ждут ответа...и кто сказал что время ожидания очень маленькое....а когда заканчивается время ожидания атака продолжается... я думаю надо запретить широковещательные пакеты...и как то надо сделать так чтобы абоненты сети не могли даже видеть друг друга (не пинговались) P.S. Может моя теория и не верна....на прошлом месте работы у меня была похожая ситуация сеть просто умерла....но это всего лишь был вирус Вставить ник Quote
Maris Posted November 25, 2005 Posted November 25, 2005 Ux pakoj fleim razveli amozetj to amoetj eto pastavj trafshow jesle eto arp spuf to vmament ataki budet vidno kakoj mac eto delajet patom s pomoshu arping naxodesh jevo realnij ip idosh jevo i otrubajesh, takix bolnix vazmozna u vas neskolko jesle eto prosta flud vmament fluda budet viden jevo ip, idosh i otkluchajesh. Chtobi dalije izbezatj sfpufa, na rutake razresheno prohaditj tolka tvaim IP s local interface, a vso ostalnoje ipfw add 65000 deny all from any to any via em0 podefaltu zakroj whell know ports prasoj primechik: ipfw add 1 deny tcp from any to any 135-139 ipfw add 1 deny udp from any to any 135-139 ipfw add 1 deny tcp from any to any 445 ipfw add 1 deny udp from any to any 445 ipfw add 1 deny tcp from any to any 1433-1434 ipfw add 5 allow all from 192.168.0.0/24 to any ipfw add 5 allow all from any to 192.168.0.0/24 ipfw add 65000 deny all from any to any via em0 em0 = nazvanije tvojevo local interfeisa. Вставить ник Quote
Бригинец Александр Posted November 25, 2005 Posted November 25, 2005 Я чтот не в курю... у тя что при белых адресах сеть на мыльницах чтоль...? коль ты шнурки из портов выдергиваешь и при том незнаешь как вилан ввести...? Вставить ник Quote
Maris Posted November 25, 2005 Posted November 25, 2005 Бригинец Александр, specialistami nerazdajutsa obrazavanije besplatnoje shkola platnaja ;) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.