Здравейте, Картинката е локално мрежа с много клиенти. Има един gateway с две мрежови карти извършващ nat, shaping, firewall и т.н. Клиентският мрежов сегмент е с адресно пространство 192.168.0.0/24.
Днес имах странна случка. Изведнъж пинговете към интернет се вдигнаха ужасно много. При опит да се логна с ssh резултата беше неуспешен, след пускане на ping до 192.168.0.1 (gateway-ят) ping-а беше над 100. След известно време се оправи и успях да се логна. Отварям си IP traf-а следя Ip traffic monitor и гледам конекциите на интерфейса eth1 (192.168.0.1) Изглеждаше всичко нормално. След минутка IPTraf-а ми заспа и почна да се движи супер бавно, т.е. машината отново лаг-на за около 5 след като се оправи видях, че за няколко секунди имаше над 2500 конекции с статус S. Source адресите бяха различни от тези които са в мрежовият сегмент 192.168.0.0/24 като за всяка конекция сорс адреса беше напълно различен при една почваше с 80, при друга с 213 и т.н. Destination адреса беше един и същ, на порта 80. Такова нещо виждам за първи път. Случва се за по 15 sec и през това време машината лагва и интернета почти спира. У нас създадох подобна ситуация с два компютъра. На единият слжих произволен IP адрес, различен от мреожвият сегмент на другият компютър. Зададах default gateway на този компютър в сегмента в който му сложих адреса и сложих статичен mac адрес на този фалшив gateway като този мак е адреса на картата на другиян компютър. После в мозилата написах произволен IP адрес и гледах в iptraf-а на другият компютър, появи се source адреса който е от друг сегменат и конекция със статус S. Не съм обянил много добре защото не мога да се изразявам с думи, надявам се да сте ме разбрали. Как си обяснявате тази атака и по какъв начин мога да и противодействам и да открия кой прави мизериите. Ако продължава това ще направя миграция към PPPoE. Много ме е страх да не е някакйв нов вирус от сорта на w32 защото ще стане много кофти. поздрави, Стефан ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
