Quoting lonely wolf <[EMAIL PROTECTED]>: > [EMAIL PROTECTED] wrote: > > >Hello all, > > > >Am urmatoarea problema. De o saptamina, se tot repeta atacuri de tip > >interzicerea serviciului pe portul 80, 443 si 25 avind adresa sursa > spoofata. > >Ceea ce ramine constant de fiecare data, este MAC-ul. Toate atacurile au > >MAC=00:0a:55:1b:11:17:08:00:2b:a2:33:11:08:00, adica adresa sursa > >08:00:2b:a2:33:11 (a placii de retea de unde pleaca pachetele, sau a > >potentialului atacator) > > > > > nu e cumva MAC-ul routerului de deasupra ta? >
Ba da, acum ai verificat si ai dreptate. > >Am nevoie de un mecanism cu care, daca vad ca de la o anume adresa de IP tot > vin > >cereri cu nemiluita, sa ii dau DROP automat. > > > >Aveti idee cum asa putea rezolva problema? > > > > > 1. connlimit patch in iptables? > $IPT -A INPUT -p tcp -i $EXTERNAL_INTERFACE -d $IP_EXT --syn --dport > 80 -m connlimit --connlimit-above 3 -j REJECT --reject-with > icmp-port-unreachable > Verific acum sa vad ce si cum cu acest patch. Vazind regula ta, ma intreb cum e mai bine: cu REJECT sau cu DROP. Ma gindesc ca la REJECT, o sa trimiti niste ACK-uri catre userul legitim si din atacat, te transformi in atacatorul celui caruia i s-a spoofat IP-ul. > 2. syn cookies Asta era activat. Mersi. Alex --- Detalii despre listele noastre de mail: http://www.lug.ro/
