Denial_of_service
Зарегистрирован: 03.10.2002
Сообщения: 36
|
 Добавлено: Чт Окт 24 2002 09:53 Заголовок сообщения: У меня подозрение, что моим сервером заинтересовались хацкеры (+) |
 |
|
Стоит Линукс на инет-сервере с выделенкой 56К, соединение по ппп.
Все было шоколадно: почта, веб-сервер, хождение ЛАНа по интернетику. Пока... вдруг в один "прекрасный" это все не заглючило. Ходим по интернету медленно и через раз, при чем когда мы только открыли браузер на клиентском компе - еще более-менее, когда же нажали в нем быстро пару ссылок - This page can't be desplayed.
Обратил внимание: лампочки на модеме моргают постоянно, независимо от того, лезет ли от нас кто-то куда-то или нет. Запустил "tcpdump -i ppp0"
Результат: какие-то адреса (их много разных) лезут к нам постоянно вот таким образом
xxx.xxx.xxx.xxx.1978 - my.se.rv.er.1978 udp 41
И я так понял, что это перегружает наш канал и посему не работает ничего.
Еще интересно: наш сервер - я не знаю почему - на эти странные пакеты что-то отвечал. У меня тогда стоял мягчайший файрволл (все АССЕРТ), я поставил жесткий - сервер отвечать перестал, но эти уроды дальше чего-то шлют. Усилением файрволла я добился лишь освобождения ИСХОДЯЩЕГО канала, но входящий-то по-прежнему забит. Качество интернета не улучшилось. Кроме того, думается мне, что сервер вообще тупо работает, если на него постоянно валятся пакеты - ведь файрволлу их надо обрабатывать. Подверждений сему два:
1. При попытке отправить письмо _С_ нашего сервера в инет письма возвращаются со словами про timeout. А на наш сервер почта приходит.
2. При попытке снять веб-сайт с нашего сервера из внешнего мира:
telnet my.se.rv.er 80
connected to my.se.rv.er
escape character is ^]
GET /
(зависание)
Connection closed by foreign host.
Мое мнение: надо умолять провайдера, чтобы он поставил файрволл на наш сервак еще у себя. А что я хочу узнать: правильно ли я понял проблему, действительно ли это сознательно кто-то нас тормозит. Сервер принадлежит учебному заведению, быть может, студентик какой-то играется? Адреса, с которых осуществляется эта гипотетическая (с моей точки зрения) атака, nslookup'om не определяются: NXDOMAIN или SERVERROR говорит |
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Окт 24 2002 12:36 Заголовок сообщения: Как снять подозрения (+) |
|
|
1. Запретить маршрутизацию между интерфейсами.
2. Разрешить входящие соединения на порты ниже 1024. Только на те порты, которые действительно нужны. Остальное запретить к чертовой бабушке.
3. Разрешить исходящий трафик на порты 32000-64000.
4. Установить проксю.
5. Использовать прогу, например iptraf. Она покажет с каких внешних хостов идут соединения на внутренние хосты и наоборот.
6. Провести ревизию внутренних машин.
7. Патчить систему регулярно и следить за новостями по безопасности.
8. Не надо плакать, что это сложно и не реально. Реально. Только делать это надо последовательно и жестко, предварительно заручившись поддержкой руководства. |
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
