someday Опубликовано 22 июля, 2010 · Жалоба Подскажите, как отбиться, от некоторых пользователей было один раз такое: Вывод tcpdump: 000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024 000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024 000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024 000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024 000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024 000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024 000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024 000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024 000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024 000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024 000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024 000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain] 000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463 000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024 000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024 000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024 000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024 000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024 000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204 000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024 000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024 000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024 000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024 000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024 000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024 000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024 000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024 000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024 000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024 000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024 000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024 000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024 000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024 000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024 Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно. Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного. По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой), но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару антивирус и аутпост, мне вежливо почему-то отказывали :). Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых. Хотел сначала добавить на пользователя : iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix "LIMIT :" iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP Но для данного примера это не поможет, и лучше думаю будет следующие: iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP Поможет ли это? Ось gentoo, iptables 1.4.3, kernel 2.6.30. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 24 июля, 2010 (изменено) · Жалоба Банить надо как можно ближе к источнику вредоносного трафика, т.е. на порту коммутатора, к которому подключен пользователь. Изменено 24 июля, 2010 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 25 июля, 2010 · Жалоба Поможет ли это? Не поможет. Ищите c&c сервер и блокируйте его. А юзеру надо прописать вирье ловить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...