Jump to content
Калькуляторы

Флуд на 445 порт способ борьбы с флудом на 445 порт

Здравствуйте,

 

Есть Ubuntu server + iptables + squid. Работает как NAT. С недавнего времени обнаружил что идет с внутренней сети во внешнюю большой флуд на 445 порт (абоненты видимо нахватали вирусни):

 

...

18:34:17.785494 IP 192.168.10.132.48612 > 10.55.72.53.microsoft-ds: Flags , seq 1897740209, win 65535, options [mss 1460,nop,nop,sackOK], length 0

18:34:17.838261 IP 192.168.10.132.48613 > 10.11.233.243.microsoft-ds: Flags , seq 1033225397, win 65535, options [mss 1460,nop,nop,sackOK], length 0

...

 

В качестве временного решения закрыл на файерволе сервера 445 порт ($LAN_IP_RANGE - диапазон локальных адресов):

iptables -A FORWARD -p tcp -s $LAN_IP_RANGE --dport 445 -j REJECT

iptables -A FORWARD -p udp -s $LAN_IP_RANGE --dport 445 -j REJECT

 

Прочитал, что 445 порт отвечает в большинстве случаев за шару и по сути выходить данные запросы за пределы внутренней сети не должны. Подскажите пожалуйста, может ли закрытие порта 445 повлиять на работу других приложений у пользователей? Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф. В общем интересно сталкивался ли кто-нибудь с данной проблемой и как решали её.

Share this post


Link to post
Share on other sites

445 это SMB/CIFS, в глобальной сети ему делать нечего.

 

У себя мы их давим на BRAS'ах по портам 135-139,445 udp и tcp.

 

Кстати, я бы рекомендовал не -j REJECT а -j DROP. При вирусном шторме фонтан основательно снижает активность.

Edited by taf_321

Share this post


Link to post
Share on other sites

дропать на доступе, мы по крайней мере так поступили

 

ЗЫ. NETBIOS зло

Edited by pppoetest

Share this post


Link to post
Share on other sites

Подскажите пожалуйста, может ли закрытие порта 445 повлиять на работу других приложений у пользователей?

 

99,99% не заметят, что 445 порт закрыт, ну а если кто-то заметит, то дадите ему статику и откроете. Если у вас аксесс поддерживает L4 acl, то можно прямо там повесить, тогда снимать его будет проще в случае необходимости(если кто-то пожалуется)

 

Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф.

 

У того же iptables есть возможность ограничивать кол-во пакетов за интервал времени в соответствии с тем или иным классификатором, только учтите такая фича потребует память, в отличии от безусловного дропа/реджекта.

Share this post


Link to post
Share on other sites

Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф.

Смысла нет. Можно резать сразу на доступе или агрегации.

Если не резать до шлюза, то только для того, чтобы набирать статистику - к кому пора отправить доктора.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this