Противодействие червям

[Виктор С. Грищенко]

Добрый день!

 

Хотелось бы услышать про накопленный опыт противодействия червям. Фабула примерно такова: тем или иным образом (из-за открытых Win-портов, по почте или файлообмену, в IIS или ещё как) машина заражается червём, после чего начинает бешено сканировать сеть (вариант: бешено долбить DNS-сервера, валить microsoft.com, и т.п.).

 

Вопрос: кто как отслеживает и искореняет такие ситуации? Не отпадают ли сегменты из-за переполнения трубы/перегрузки рутеров?

 

Насколько помогает shaping?

 

Кто-нибудь вообще держит открытыми порты TCP 135, 137, 445 и подобное?

 

Если одна из машин начинает вдруг фонтанировать по SMTP - отслеживается ли это и как?

[Alba]

сеть одноранговая, с выходом в инет через линукс. на линуксе поднят net-acct, с логах которого видны все идущие на шлюз пакеты...

как только вижу, что кто-то заразился, на сайт вывешиваю информацию, что если абонент Вася Пупкин не вылечит вирус в течении суток - будет отключен от сети до тех пор, пока не вылечится...

пока помогает... хотя, хотелось-бы придумать чё-нить поэффективнее...

[nuclearcat]

Однозначно блокируются виндовые порты, делается лимит по пингу, порт 25 если возможно редиректится на собственный SMTP с фильтрами и антивирусом.

Сеть распределенная, уже 11000 пользователей (PPPoE).

[Nag]

Хм...

А мониторить порты в умных коммутаторах, и закрывать их в случае флуда никто не пробовал?

[nuclearcat]

Имеются в виду думаю TCP порты. А у меня умных коммутаторов не наставишься, сеть на несколько километров, расходы будут немерянные :)

умный только центральный

можно еще конечно сделать NetFlow, и с него анализировать... но это слишком сложно

[UglyAdmin]

можно еще конечно сделать NetFlow, и с него анализировать... но это слишком сложно

NetFlow - это не мониторинг, это больше анализ и биллинг. Поскольку идёт с задержкой не менее минуты, а по-умолчанию - от 5 до 30 минут.

[DiBrain]

135 и иже с ними порты закрыты, СМТП правда пока только анализатором ловлю и в случаее если кто-то заразился сообщаю ему помогаю немного вылечится.

В связи с последней эпидемией действительно возникает мысль СМТП свой поднимать и на него всех кидать а там разруливать антивирусную проверку.

[nuclearcat]

можно еще конечно сделать NetFlow, и с него анализировать... но это слишком сложно

NetFlow - это не мониторинг, это больше анализ и биллинг. Поскольку идёт с задержкой не менее минуты, а по-умолчанию - от 5 до 30 минут.

 

Вполне подходит для мониторинга, если говорить буквально - NetFlow средство для сбора статистических данных, а не анализ и биллинг :)

На основании сбора получасовых данных, можно блокировать порт пользователю или пользователя вообще, при аномальном потреблении траффика (если он заказал такую услугу).

[nuclearcat]

Как вариант еще - port mirror на свиче и IDS по типу Snort.

[Виктор С. Грищенко]

Кто-нибудь реально использует NDS кроме как в корпоративных средах? Т.е. как можно практически применить NDS в публичной, провайдерской сети? Какой объём траффика потянет, скажем, Xeon / 1024M? В цену-то вносить придётся...

[nuclearcat]

Snort нормально работает, но его постоянно надо смотреть, и подстраивать хорошо, много Fake Alarm. У меня тянет сеть в общей сложности 2 Mbit down/512k UP - PIII-1Ghz/768RAM

[Mi4el]

nuclearcat,

"11000 пользователей (PPPoE)" и это всё на "2 Mbit down/512k up" или я где-то неправильно понял ? :)

[Виктор С. Грищенко]

Довольно странно, что треть опрошенных не озаботилась даже брандмауэрами. Казалось бы, возможность применения таких средств - естественное преимущество "домашних" сетей и ethernet-операторов. Возможно, конкуренция ещё не надавила?

Про обеспечение QoS и не говорю даже.

 

В целом же - картина ясна, спасибо участникам опроса.

[nuclearcat]

11000 пользователей - это несколько POP

2 Mbit down/512K up - это один из POP-ов.