/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Ingress rate-limiting eller hvordan håndte~
Fra : Steen Suder, privat


Dato : 03-08-04 14:46

Scenarie:

Gatewayboks (Linux) giver adgang for ca. 300 kollegianere til internet.
L*** sker og indtil flere er inficeret med orm og vira, der genererer en
pokkers masse pakker imod gatewayen (man vil jo ud på 'nettet og formere
sig, vil man .

Den normale RX-rate på LAN-interfacet ligger på 6-900 pakker/sek. Ved
"angreb" er 6-70000 pakker/sek. set flere gange. Ja, det er rigtigt;
halvfjerdstusinde pakker per sekund.

Nu ligger det desværre sådan at netværket er en smule autonomt, så mange
af de normale admin-rutiner kan være lidt svære at gennemføre.

Bl.a. fordi der f.eks. ikke /er/ nogen admin (jeg administrerer
gatewayboksen, men har ellers ikke noget med det at gøre).

Man kan bruge tid på at finde synderen og så lukke ham ned, men det vil
give meget ekstraarbejde.

Hvad findes der af smarte ting man kan gøre for at komme problemet til
livs? Evt. dæmpe dets effekt?

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

 
 
Mikkel Bundgaard (15-08-2004)
Kommentar
Fra : Mikkel Bundgaard


Dato : 15-08-04 18:33


> Man kan bruge tid på at finde synderen og så lukke ham ned, men det vil
> give meget ekstraarbejde.
>
> Hvad findes der af smarte ting man kan gøre for at komme problemet til
> livs? Evt. dæmpe dets effekt?
>

evt. kan du jo ændre lidt i firewall scriptet, og lave string search i
pakkerne. Se evt. hvad de forskellige orme udsender og bloker TCP pakker
som indeholder en given string.

Derudover er der mange af ormene som benytter sig af RPC services i
windows... Luk af udgang til windows RPC services. Vil tro du skal lukke
af for udgående porte: 445,137,138,139. Det skulle hjælpe.


Følgende skulle gøre det(Kan ikke helt huske om det korrekt syntax->
iptables -A FORWARD -p tcp --port 445 -j DROP
iptables -A FORWARD -p tcp --port 137 -j DROP
iptables -A FORWARD -p tcp --port 138 -j DROP
iptables -A FORWARD -p tcp --port 139 -j DROP

Hilsen Mikkel

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste