10.02.2014 19:11, Vladislav V. Prodan пишет:
10 февраля 2014 г., 16:44 пользователь Lystopad Aleksandr
<[email protected] <mailto:[email protected]>> написал:
> P.S. Возможно я погорячился, что правила в ntpd.conf не работают...
> Но как вычислить жертву в таких запросах актуален.
IMHO:
Дык а разве не с src ip жертвы летит поток запросов? То есть если
дофига запросов к ntp -- то явно подставной ип-адрес жертвы в src ip
запросов.
Trafshow показывал множественные запросы к жертве:
lh25767.voxility.net <http://lh25767.voxility.net>,23756 и к IP из
сети 37.187.0.0 (особенности трафшоу)
trafshow -a32 пробовали?
Сейчас это имя не ресолвится.
Я поэтому и решил, что они как-то хитро передавали запрос и рикошетом
уходило жертве.
Теперь я смотрю список источников, которые долбили мои NTP:
37.187.133.51
109.163.232.229
209.212.144.112
72.20.46.22
174.36.245.59
174.92.158.198
50.23.91.144
212.219.193.236
74.208.146.18
69.31.20.75
119.252.190.33
Первый IP очень похож на жертву.
Попутный вопрос к присутствующим:
А вы фильтруете вход изнутри вашей сети, чтоб приходили src только из
вашего диапазона сетей?
--
Vladislav V. Prodan
System & Network Administrator
http://support.od.ua
+380 67 4584408, +380 99 4060508
VVP88-RIPE
