On Mon, 20 Dec 2004 23:01:56 -0800 (PST), Serban Murariu <[EMAIL PROTECTED]> wrote: > slut, > am avut si eu experiente similare si am aflat (tot de > aici de pe lista) ca exista un mod de a face drop la > pachete inca inainte ca acestea sa ajunga in iptables. > > ideea este sa adaugi in tabela arp ip-ul virusat cu o > adresa mac aiurea: arp -s hostname hw_addr > > de exemplu arp -s 192.168.xxx.xxx 00:00:00:FF:00:00
even more! eu foloseam in regie ip-sentinel. welchia a fost o experienta incantatoare, as putea spune: (extras din http://www-user.tu-chemnitz.de/~ensc/ip-sentinel/ ) 'News 16 Dec 2004 Version 0.11 (149KiB) released [SIG] This version allows to block hosts with a certain MAC address regardless of the IP. The syntax "*@<mac>" is used for this feature which helps e.g. to isolate hosts infected by worms or viruses. The default options were changed to "--poision --mac 802.3x --direction BOTH" as already announced in earlier versions.' > > have fun! > > > --- Constantin Gavrilescu <[EMAIL PROTECTED]> wrote: > > > Mediul ostil dintr-o retea de bloc :) > > > > Flood pe un gateway p2 dual la 350Mhz. Floodul se > > face din retea cu o > > multime de pachete cu sursa random. Gatewayul tine > > un firewall destul de > > lung, cu mipclasses, si 250 de clase htb pe fiecare > > din cele 2 interfete. > > > > Ce spun mai jos se intimpla pe interfata lan: > > > > Traficul normal: > > 500-700 pps pe outgoing pe interfata lan, 3-4 mbit/s > > 1k pps pe incoming in permanenta la trafic de 1.6 > > mbit/s. Sunt asa multe > > pachete din cauza virusatilor cu sasser, blaster... > > care, dupa cum sunt > > multi, fac impreuna cam 3-400 pps. Acestor pachete > > li se da drop din > > mangle, la inceputul firewall-ului. > > > > Flood, de la un singur calculator: > > > > Initial: > > 6-7k pps pe incoming, 6Mbit/s > > 100kbit/s pe outgoing, netul nu mai merge > > load average spre 1 > > Warninguri de genul: "ip_conntrack: table full, > > dropping packet." si > > "eth1: too much work at interrupt, status 0x4050" > > > > Dupa ce am citit http://cr.yp.to/syncookies.html, am > > dat "echo 1 > > > /proc/sys/net/ipv4/tcp_syncookies". Rezultatul: > > Duce mult mai multe pachete pe eth1: > > 12k pps pe incoming > > 1mbit pe outgoing, netul nu mai pare cazut > > load average mai mare de 1 > > > > A fost un experiment interesant... pentru mine. Daca > > aveti si voi > > comentarii din experienta, shoot. > > > > --- > > Detalii despre listele noastre de mail: > > http://www.lug.ro/ > > > > > > > > > __________________________________ > Do you Yahoo!? > Meet the all-new My Yahoo! - Try it today! > http://my.yahoo.com > > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > > --- Detalii despre listele noastre de mail: http://www.lug.ro/
