Alesss Опубликовано 24 ноября, 2005 · Жалоба Народ, выручайте, первый раз такой геморрой. Сетка начала падать пару недель назад, причем вся сеть сразу. На свичах постоянно горят лампы, утилизация под 100%. Глянул анализатором идет атака SYN FLOOD на реальные IP у меня в сети. Сурс адрес подделан. Выдергиваю шнурок в Инет, иногда помогает иногда нет. Решил искать по абонентам. Началась полная Ж: выключаю любой порт на любом коммутаторе атака останавливается, через пару минут снова начинается. Клиенты у меня сидят с реальниками, половина за D-Link 604, еще часть за своими серваками, есть и просто компы. Понимаю, что где-то засел вирус, но как его вычислить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maris Опубликовано 24 ноября, 2005 · Жалоба router nachom ? bsd etc ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
repa Опубликовано 24 ноября, 2005 · Жалоба Нужно либо лечить машины, либо фильтровать трафик на входе в коммутатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alesss Опубликовано 24 ноября, 2005 · Жалоба Роутер на Free Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bone Опубликовано 24 ноября, 2005 · Жалоба У нас была похожая проблема. Не только syn-флуд, но и все другие виды флуда. Решили так: поставили специальный компьютер, единственная задача которого - отлавливать флуд и блокировать клиента на порту коммутатора. С тех пор, все спокойно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alesss Опубликовано 24 ноября, 2005 · Жалоба Дык не получается отловить то.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
repa Опубликовано 24 ноября, 2005 · Жалоба Подставляется, наверника, фальшивый IP адрес? МАС адрес, скорей всего, реальный... Посмотрите MAC-и, а потом искать в комутаторе на каком порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alesss Опубликовано 24 ноября, 2005 · Жалоба У меня стоит 2 роутера на одном канале (не спрашивайте зачем). FreeBSD и Cisco. Так вот анализатор показывает их маки. Айпи разные а маки их... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayamb Опубликовано 24 ноября, 2005 · Жалоба (удалено пользователем) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bone Опубликовано 25 ноября, 2005 · Жалоба Подставляется, наверника, фальшивый IP адрес? Для этого существует привязка IP-к МАКу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alesss Опубликовано 25 ноября, 2005 · Жалоба Еще раз: IP-адреса разные (подставные), МАКи маршрутизаторов, за маршрутизаторами интернет. Повсему выглядит что атака из инета, однако при отключениии внутренних интерфейсов роутеров атака все равно продолжается... Я ваще ниче не понимаю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
repa Опубликовано 25 ноября, 2005 · Жалоба Раз атака из инета, то можно только обращаться к своему интернет оператору и решать с ним проблему. Я бы предложил вам поменять блок адресов выделеных вам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 25 ноября, 2005 · Жалоба Еще раз: IP-адреса разные (подставные), МАКи маршрутизаторов, за маршрутизаторами интернет. Повсему выглядит что атака из инета, однако при отключениии внутренних интерфейсов роутеров атака все равно продолжается... Я ваще ниче не понимаю MAC-и в пакетах также легко подделываются, как и IP. Смотрите по свитчам, откуда идет поток. Или просто отрывайте аплинки из свитчей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ToNick Опубликовано 25 ноября, 2005 · Жалоба Погоди если идет SYN FLOOD то падать должна не только сетка но и машины в ней...а такое происходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alesss Опубликовано 25 ноября, 2005 · Жалоба Смотрите по свитчам, откуда идет поток. Или просто отрывайте аплинки из свитчей. Во время атаки загрузка ВСЕХ свичей под 100%. Вычислить нереально... Погоди если идет SYN FLOOD то падать должна не только сетка но и машины в ней...а такое происходит? Нет информации... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ToNick Опубликовано 25 ноября, 2005 · Жалоба Я не думаю что это атака из инета ..так нагрузить свитчи я думаю не реально... атака идет изнутри....но для этого должно быть заражено очень много компьтеров....и если как ты говоришь выдергиваешь хвост из любого порта атака прекращается, а потом продолжается то это может быть вот так... Предположим что зараженные машины шлют соседям (поочереди) кучу запросов и естесно ждут ответа полосу пропускания это может забить насмерть..а когда ты выдергиваешь хвост..то какая та машина перестает отвечать ...а злодеи ждут ответа...и кто сказал что время ожидания очень маленькое....а когда заканчивается время ожидания атака продолжается... я думаю надо запретить широковещательные пакеты...и как то надо сделать так чтобы абоненты сети не могли даже видеть друг друга (не пинговались) P.S. Может моя теория и не верна....на прошлом месте работы у меня была похожая ситуация сеть просто умерла....но это всего лишь был вирус Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maris Опубликовано 25 ноября, 2005 · Жалоба Ux pakoj fleim razveli amozetj to amoetj eto pastavj trafshow jesle eto arp spuf to vmament ataki budet vidno kakoj mac eto delajet patom s pomoshu arping naxodesh jevo realnij ip idosh jevo i otrubajesh, takix bolnix vazmozna u vas neskolko jesle eto prosta flud vmament fluda budet viden jevo ip, idosh i otkluchajesh. Chtobi dalije izbezatj sfpufa, na rutake razresheno prohaditj tolka tvaim IP s local interface, a vso ostalnoje ipfw add 65000 deny all from any to any via em0 podefaltu zakroj whell know ports prasoj primechik: ipfw add 1 deny tcp from any to any 135-139 ipfw add 1 deny udp from any to any 135-139 ipfw add 1 deny tcp from any to any 445 ipfw add 1 deny udp from any to any 445 ipfw add 1 deny tcp from any to any 1433-1434 ipfw add 5 allow all from 192.168.0.0/24 to any ipfw add 5 allow all from any to 192.168.0.0/24 ipfw add 65000 deny all from any to any via em0 em0 = nazvanije tvojevo local interfeisa. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Бригинец Александр Опубликовано 25 ноября, 2005 · Жалоба Я чтот не в курю... у тя что при белых адресах сеть на мыльницах чтоль...? коль ты шнурки из портов выдергиваешь и при том незнаешь как вилан ввести...? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maris Опубликовано 25 ноября, 2005 · Жалоба Бригинец Александр, specialistami nerazdajutsa obrazavanije besplatnoje shkola platnaja ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...