Re: lug-bg: Странна атака
- Subject: Re: lug-bg: Странна атака
- From: Hristo Andreev <lug@xxxxxxxxxxxxx>
- Date: Sat, 27 Mar 2004 12:00:17 +0200
Здравей,
По думите ти разбрах че става дума за трафик който минава през твоя GW в
посока: от клиентите към интернет, но със IP-адреси които ти не рутираш.
Ако съм разбрал правилно, направи следното:
sysctl -w net.ipv4.conf.default.rp_filter=1
sysctl -w net.ipv4.conf.all.rp_filter=1
А за съмнението че може би е вирус, за съжаление си прав, но не мога да ти
кажа кой точно е от последните които се появиха.
поздрави
Христо Андреев
ComNet Ltd.
On Saturday 27 March 2004 01:15, Stefan Gurdev wrote:
> Здравейте,
>
> Картинката е локално мрежа с много клиенти. Има един gateway с две мрежови
> карти извършващ nat, shaping, firewall и т.н. Клиентският мрежов сегмент е
> с адресно пространство 192.168.0.0/24.
>
> Днес имах странна случка. Изведнъж пинговете към интернет се вдигнаха
> ужасно много. При опит да се логна с ssh резултата беше неуспешен, след
> пускане на ping до 192.168.0.1 (gateway-ят) ping-а беше над 100. След
> известно време се оправи и успях да се логна. Отварям си IP traf-а следя Ip
> traffic monitor и гледам конекциите на интерфейса eth1 (192.168.0.1)
> Изглеждаше всичко нормално. След минутка IPTraf-а ми заспа и почна да се
> движи супер бавно, т.е. машината отново лаг-на за около 5 след като се
> оправи видях, че за няколко секунди имаше над 2500 конекции с статус S.
> Source адресите бяха различни от тези които са в мрежовият сегмент
> 192.168.0.0/24 като за всяка конекция сорс адреса беше напълно различен при
> една почваше с 80, при друга с 213 и т.н. Destination адреса беше един и
> същ, на порта 80. Такова нещо виждам за първи път. Случва се за по 15 sec и
> през това време машината лагва и интернета почти спира. У нас създадох
> подобна ситуация с два компютъра. На единият слжих пр! оизволен IP адрес,
> различен от мреожвият сегмент на другият компютър. Зададах default gateway
> на този компютър в сегмента в който му сложих адреса и сложих статичен mac
> адрес на този фалшив gateway като този мак е адреса на картата на другиян
> компютър. После в мозилата написах произволен IP адрес и гледах в iptraf-а
> на другият компютър, появи се source адреса който е от друг сегменат и
> конекция със статус S.
>
> Не съм обянил много добре защото не мога да се изразявам с думи, надявам се
> да сте ме разбрали. Как си обяснявате тази атака и по какъв начин мога да и
> противодействам и да открия кой прави мизериите. Ако продължава това ще
> направя миграция към PPPoE. Много ме е страх да не е някакйв нов вирус от
> сорта на w32 защото ще стане много кофти.
>
> поздрави, Стефан
>
>
> ===========================================================================
>= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ===========================================================================
>=
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|