The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Можно ли отслеживать попытки DoS/Flood атак в FreeBSD (flood dos security freebsd)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: flood, dos, security, freebsd,  (найти похожие документы)
Date: Sat, 15 Jun 2002 08:34:38 +0000 (UTC) From: Valentin Nechayev <netch@segfault.kiev.ua> Newsgroups: fido7.ru.unix.bsd Subject: Можно ли отслеживать попытки DoS/Flood атак в FreeBSD AAS>> На предмет выяснения адресов может помочь AAS>> /sbin/sysctl net.inet.tcp.log_in_vain=1 VN> Я думаю, что она тебе надоест дня через два максимум. ;) AK> М-да, мусора навалило, но всё-таки хотелось бы как-то отслеживать AK> подобные попытки. Дело в том, что у меня в файрволе стоит логирование AK> всего deny к самому роутеру, а там тишина - значит его не сканировали AK> обычным tcp connect или я чего-то не понимаю? Сделай net.inet.tcp.log_in_vain=2, посмотри что будет. Можно включить с момента начала включения RST bandlim / ICMP bandlim, если есть соответствующее средство (realtime монитор лога с триггерами). AK> Вот в связи с чем и вопрос - если вдруг кто-нибудь устроит DOS, то я AK> даже не буду знать с какого адреса(ов) меня пытались уронить. А почему ты предполагаешь, что это знаешь? По source address? Так любой, кто овладел рутом на произвольном отдельно взятом тазике, может слать пакеты с любым source address. Чтобы это было не так, надо, чтобы все провайдеры мира включили egress filtering, а этого еще много лет не случится. Я сталкивался с различными ситуациями DoS'а и взломов по UDP, и единственное, что можно четко сказать в таком случае без оперативного слежения за каналами - это на какой адрес шел поток.;(( Элементарно просто найти провайдера, который не будет делать egress filtering (фильтрацию пакетов от клиента только с source IP выданных этому клиенту). Элементарно сделать кратковременную - на практике, до двух часов и выше - генерацию произвольного потока так, что никто не успеет отследить по всем транзитным каналам и поймать: NOC'и не успеют сработать оперативнее, если нет технических средств для этого. (Был случай, что и 12 часов не хватило - потом плюнули и обошли проблему с другой стороны.) Элементарно найти десяток дырявых прокси, не числящихся ни в каких списках, и десяток дырявых хостов, через которые можно делать что угодно - причем ходить по ним можно цепочками. DDoS еще хуже ловятся, чем все перечисленное - то есть за несколько часов их вообще не поймать, разве что за несколько дней, как в случае yahoo... В нынешнем интернете единственное чем можно защититься - предельный уровень пассивной безопасности. Не реагировать ни на что. Не нервничать. На любые атаки - писать кляузы и не ждать результата. Не покупать каналы по трафику. "Не верь, не бойся, не проси", в общем. Если сервис неспособен на это - под файрволл его. Если операционка неспособна - в десятую сетку. Если нельзя и так - идти вешаться или увольняться. P.S. Один из недавних примеров. Приходит хакер, ломает тачку, вешает UDP слушалку. Слушалка принимает пакеты, расшифровывает по arcfour с зашитым в нее ключом, если находит в расшифрованном правильную команду - исполняет. Варианты команд - synflood, finflood, udpflood, icmpflood, еще парочка каких-то флудов. Адрес на который флудить тоже присылается. Сниффер показал, что командные пакеты приходили от основного аплинка (грубо говоря, с american internet backbone), source IP - 66.66.66.66. /netch

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Ваш комментарий
Имя:         
E-Mail:      
Заголовок:
Текст:





  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor