Ahoj, po tydnu laborovani doslo pouze ke trem vypadkum. Je to zajimave, ale uz podruhe se mi stalo, ze sotva jsem to napsal do konference, tak do par hodin se problemy vyrazne zmirnily.
Reseni zatim nemam, ale jsem tak nejak blize - jsem presvedcen, ze to je nejakou chybou v BSD. Pokud mi jeste nekdo bude chtit pomoci, rad uvitam kazdy napad. Co tedy zatim vim: - jednoznacne to souvisi s klientem ve vnitrni siti - diky tomu, ze u nas probiha rozsirovani site, byla cast klientu presunuta na novy router, vcetne tech, ktere jsem podezrival (bohuzel nemuzu v dohledne dobe vyzobat jen ty, ktere povazuji za viniky, ale pravdepodobnost, ze jsou to oni, se blizi 100 %). Po presunu prestal zlobit puvodni, zacal zlobit novy. - ten "bordel", co tam lita, je ve vlnach, kdy ta nejvice viditelna je icmp redirect - pricemz tedy plati, ze tam lita neco porad, ale pokud ke zmene brany dojde, tak tech redirectu lita desetitise paketu za sekundu, pricemz i tak nedojde ke zmene uplne vzdy - na routeru byl cisty system, pouze zapnute pf. Nabootovano bylo pres nfs jako readonly. Mam logovano jinam + jsem si udelal nastroj, ktery by me upozornil, kdyby se tam nekdo prihlasil (krome toho netusim, kdo by zrovna vynakladal usili na provedeni prave takoveho utoku a zrovna na tomto stroji). - po nejake dobe se zacne router chovat "divne" a zacne ze 127.0.0.1 take posilat icmp redirecty - nedela to porad, ale kdyz jsem porovnal cas s tim, kdy dostaval icmp redirecty od klienta a kdy je zacal posilat sam, tak tam byla pomerne dlouha doba, kdy je posilal klient a router ne, a pote je zacal teprve posilat router - pricemz ty pakety od klienta se netvarily nijak jinaci, nez chodi stale. V tuto chvili mam na stroji pusteny nastroj, ktery branu prehodi vzdy hned zpet + zaloguje presny cas. Dale odchytavam na vsech rozhranich icmp redirecty. Mam bohuzel trochu problem, zde bych potreboval malou radu - ty soubory maji pul giga a ja uplne nevim, jak by mel ve wiresharku vypadat filtr na nalezeni brany, na kterou je to zmeneno - tedy vnitrek paketu. Kdyz jsem pouzil ip.addr == 94.245.121.253, tak mi to nenaslo nic - problem je, ze tech souboru mam 80 a vzhledem k jejich velikosti se 40 minut otevira, pak 10 minut nejde delat vubec nic, pak jde zadat filtr, ktery se aplikuje dalsich 20 minut a no dalsich 10 minut se soubor zase zavira - pokud je tedy ten filtr nesmysl (coz asi bude), tak bych radeji aplikoval uz funkcni. To ip je ip brany, na kterou se to ve sledovany cas v rozmezi 10ti sekund 4x zmenilo. Vic zatim nemam. PID procesu, resp. jeho nazev, pid vim, ktery zmenu inicioval, nevim. Pokud by mi chtel nekdo pomoci, tak bude asi lepsi naprimo a sem pak postneme, pokud na neco prijdeme. Zatim diky Radek -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
