-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 При мен имаше подобен проблем, първоначално беше вирус, след това саботажи от конкуренцията. Отрязах всички пакети със сорс различен от клиентските мрежи и проблема почти се оправи. Машината леко се овърлоудна но поне доставчика ми се поуспокои. iptables -A FORWARD -i ethX -p tcp -s ! 192.168.0.0/24 -j DROP iptables -A INPUT -i ethX -p tcp -s ! 192.168.0.0/24 -j DROP
примерно. On Saturday 27 March 2004 01:15, Stefan Gurdev wrote: > Здравейте, > > Картинката е локално мрежа с много клиенти. Има един gateway с две мрежови > карти извършващ nat, shaping, firewall и т.н. Клиентският мрежов сегмент е > с адресно пространство 192.168.0.0/24. > > Днес имах странна случка. Изведнъж пинговете към интернет се вдигнаха > ужасно много. При опит да се логна с ssh резултата беше неуспешен, след > пускане на ping до 192.168.0.1 (gateway-ят) ping-а беше над 100. След > известно време се оправи и успях да се логна. Отварям си IP traf-а следя Ip > traffic monitor и гледам конекциите на интерфейса eth1 (192.168.0.1) > Изглеждаше всичко нормално. След минутка IPTraf-а ми заспа и почна да се > движи супер бавно, т.е. машината отново лаг-на за около 5 след като се > оправи видях, че за няколко секунди имаше над 2500 конекции с статус S. > Source адресите бяха различни от тези които са в мрежовият сегмент > 192.168.0.0/24 като за всяка конекция сорс адреса беше напълно различен при > една почваше с 80, при друга с 213 и т.н. Destination адреса беше един и > същ, на порта 80. Такова нещо виждам за първи път. Случва се за по 15 sec и > през това време машината лагва и интернета почти спира. У нас създадох > подобна ситуация с два компютъра. На единият слжих пр! оизволен IP адрес, > различен от мреожвият сегмент на другият компютър. Зададах default gateway > на този компютър в сегмента в който му сложих адреса и сложих статичен mac > адрес на този фалшив gateway като този мак е адреса на картата на другиян > компютър. После в мозилата написах произволен IP адрес и гледах в iptraf-а > на другият компютър, появи се source адреса който е от друг сегменат и > конекция със статус S. > > Не съм обянил много добре защото не мога да се изразявам с думи, надявам се > да сте ме разбрали. Как си обяснявате тази атака и по какъв начин мога да и > противодействам и да открия кой прави мизериите. Ако продължава това ще > направя миграция към PPPoE. Много ме е страх да не е някакйв нов вирус от > сорта на w32 защото ще стане много кофти. > > поздрави, Стефан > > > =========================================================================== >= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara > Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > =========================================================================== >= -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQFAZ+HTGBkayciJ3nURAvMWAJ90q3vSpkVl66eOwiXXJ7qCtDCVbwCcCXNG LWgirQE/lKRzX9LPLD1MNJw= =kVUt -----END PGP SIGNATURE----- ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
