форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"сколько хостов ограничить?"
Сообщение от WWW on 12-Дек-04, 15:43  (MSK)
Вобщем проблема такая - кто-то из локалки, в которой адреса типа 192.168.1.0 подделывает источник из диапазона 36.x.x.x, 37.x.x.x и ложит сервак SYN пакетами по 1000 пакетов/сек. Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила, т.е. сколько может быть теоретически в этой подсети хостов?? Может /8? Система FreeBsd, SYN вроде бы запрещены. Да и как вообще средствами ipfw эффективно сделать скажем ограничение на НЕ БОЛЕЕ чем 10 одновременных соединений? У меня и такое прописано, и даже счетчики крутятся, но почему-то от подобных атак не спасает.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "сколько хостов ограничить?"
Сообщение от Danil (??) on 12-Дек-04, 21:14  (MSK)
А чему равна переменная net.inet.tcp.syncookies в sysctl? Если 0, то сделать её равной 1, дождаться очередной атаки и посмотреть на результат =) И, кстати, не вариант разобраться, кто это делает? Например, по MAC-адресу. И что значит "вроде бы"? :-) По поводу ограничений см. man ipfw, RULE OPTIONS, опция limit. Но не факт, что этот "доброжелатель" будет всё делать с одного src-ip, поэтому может и не спасать... В общем, советую попробовать для начала использовать SYN-cookies.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "сколько хостов ограничить?"
	Сообщение от WWW on 13-Дек-04, 02:53  (MSK)
	Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через это правило со своими 100 соединений/сек. Правило у меня с использованием limit. А mac неизвестный, кстати.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "сколько хостов ограничить?"
	Сообщение от Beginner (??) on 13-Дек-04, 10:27  (MSK)
	>Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через >это правило со своими 100 соединений/сек. Правило у меня с использованием >limit. А mac неизвестный, кстати. Задача? Найти и надовать по шее или обезопаситься?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "сколько хостов ограничить?"
	Сообщение от WWW on 13-Дек-04, 12:38  (MSK)
	И то и другое.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "сколько хостов ограничить?"
	Сообщение от Beginner (??) on 13-Дек-04, 14:06  (MSK)
	>И то и другое. Если свич умный - можно полочить на нем чтобы он получал только 1 МАС на порт, тогда подменить МАС не удастся. Далее обнаруживаем с какого МАСа все идет. Смотрим на каком порту и идем давать по шее. Или. Обнаруживаем с какого МАСа, лезем на свич и смотрим с какого порта он пришел. Далее анаголично - по шее. Обнаружить можно по разному. Например tcpdump с фильтром.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "сколько хостов ограничить?"
	Сообщение от Sampan on 13-Дек-04, 14:45  (MSK)
	>Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом случае - часть защиты от спуфинга.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "сколько хостов ограничить?"
	Сообщение от Danil (??) on 14-Дек-04, 19:21  (MSK)
	>Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом >случае - часть защиты от спуфинга. Для начала может сработать, но потом всё равно не поможет... А пробиваться он может так, что лимит поставлен на src-ip, а он использует рандомные адреса?.. Можно тогда попробовать ставить лимит не на адрес отправителя, а получателя. Но тогда создастся DoS-атака =))) Тут уж решай - либо тебе надо, чтобы машина не висла, либо чтобы пользователи работали. Кстати, а цель этой машинки какая? Рабочая станция или сервер? Странно, что syn-cookies не помогают... Вроде бы они специально для этого и есть... tcp.keepinit - таймаут для неустановленных соединений; может быть, его поменьше попробовать сделать?.. Особенно, если это всё работает только в локальной сети.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.