The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"флуд с localhost:80"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 03-Ноя-03, 18:00  (MSK)
люди как прибить флуд который идет от чела?
шлет пакеты с обратным адресом localhost:80
никакие правила ipfw deny непомогают...
хелп что делать?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "флуд с localhost:80"
Сообщение от lubeg emailИскать по авторуВ закладки on 04-Ноя-03, 06:49  (MSK)
>люди как прибить флуд который идет от чела?
>шлет пакеты с обратным адресом localhost:80
>никакие правила ipfw deny непомогают...
>хелп что делать?

если он в твоей локалке, то запретить по маку можно, только работать до тех пор пока мак не поменяет :)

а в принципе, даже в правилах по умолчанию всегда добавляется в начало запрет loopback'a:
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 04-Ноя-03, 11:23  (MSK)
>>никакие правила ipfw deny непомогают...

>${fwcmd} add 100 pass all from any to any via lo0
>${fwcmd} add 200 deny all from any to 127.0.0.0/8
>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

так непомогает яж говорю...
я с ipfw корячился по разному
всеравно вот такое Г идет.
11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
11:21:25.309518 localhost.http > 192.168.124.105.1673: R 0:0(0) ack 1855586305 win 0
11:21:25.329505 localhost.http > 192.168.189.105.robcad-lm: R 0:0(0) ack 342687745 win 0
11:21:25.349662 localhost.http > 192.168.254.232.1344: R 0:0(0) ack 977338369 win 0
11:21:25.369456 localhost.http > 192.168.65.104.1180: R 0:0(0) ack 1611923457 win 0
11:21:25.389510 localhost.http > 192.168.130.104.1015: R 0:0(0) ack 99090433 win 0
11:21:25.409678 localhost.http > 192.168.195.231.1851: R 0:0(0) ack 733675521 win 0
11:21:25.429723 localhost.http > 192.168.6.231.1686: R 0:0(0) ack 1368326145 win 0
11:21:25.449598 localhost.http > 192.168.71.104.ncube-lm: R 0:0(0) ack 2002911233 win 0
11:21:25.469620 localhost.http > 192.168.136.104.pegboard: R 0:0(0) ack 490078209 win 0
11:21:25.490370 localhost.http > 192.168.201.231.1192: R 0:0(0) ack 1124663297 win 0
11:21:25.509850 localhost.http > 192.168.12.103.1028: R 0:0(0) ack 1759313921 win 0
11:21:25.529734 localhost.http > 192.168.77.103.1631: R 0:0(0) ack 246415361 win 0
11:21:25.550092 localhost.http > 192.168.142.230.csdmbase: R 0:0(0) ack 881065985 win 0
11:21:25.569899 localhost.http > 192.168.208.230.1302: R 0:0(0) ack 1515651073 win 0
11:21:25.589850 localhost.http > 192.168.18.102.1137: R 0:0(0) ack 2752513 win 0
11:21:25.609996 localhost.http > 192.168.83.103.1973: R 0:0(0) ack 637403137 win 0
11:21:25.629895 localhost.http > 192.168.149.230.1808: R 0:0(0) ack 1271988225 win 0
11:21:25.649937 localhost.http > 192.168.214.230.1644: R 0:0(0) ack 1906638849 win 0
11:21:25.669957 localhost.http > 192.168.24.102.dberegister: R 0:0(0) ack 393740289 win


А ipfw хотьбы что
00005         0            0 allow ip from any to any via lo0
00006         0            0 deny ip from any to 127.0.0.0/8
00007         0            0 deny ip from 127.0.0.0/8 to any

1 и второе правило  count_ы потом до 4 пусто.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "флуд с localhost:80"
Сообщение от lubeg emailИскать по авторуВ закладки on 04-Ноя-03, 13:08  (MSK)

>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0

nslookup localhost?
netstat -rn?
tcpdump -n?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 04-Ноя-03, 14:19  (MSK)
>
>>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
>
>nslookup localhost?
>netstat -rn?
>tcpdump -n?


localhost = 127.0.0.1
тут какаято другая хитрость...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "флуд с localhost:80"
Сообщение от A6PAMOB emailИскать по авторуВ закладки on 04-Ноя-03, 14:26  (MSK)
Может не по теме разговора, но
ping www.instituto.com.br

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "флуд с localhost:80"
Сообщение от bass emailИскать по авторуВ закладки on 05-Ноя-03, 10:13  (MSK)
>>
>>>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
>>
>>nslookup localhost?
>>netstat -rn?
>>tcpdump -n?
>
>
>localhost = 127.0.0.1
>тут какаято другая хитрость...

ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
а поглядите-ка tcpdump -e
вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 05-Ноя-03, 20:54  (MSK)
>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>а поглядите-ка tcpdump -e
>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
По маку поймали чела. у него был вирус. я просто отом чтоб в будущем избежать подобного - хотел чемто прикрыться, например файрволом.
Но файрволом неполучается...:(


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "флуд с localhost:80"
Сообщение от dennis kreminsky emailИскать по авторуВ закладки on 03-Дек-03, 16:49  (MSK)
>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>>а поглядите-ка tcpdump -e
>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
>По маку поймали чела. у него был вирус. я просто отом чтоб
>в будущем избежать подобного - хотел чемто прикрыться, например файрволом.
>Но файрволом неполучается...:(

В локальной сети файрвол, разумеется, не сможет уничтожать фреймы, для который не является мостом или маршрутизатором.

А в сети можно просить оператора аплинка дискардить пакеты, не содержащие в себе ваших адресов. В принципе, практика обычная, хотя при злоупотреблении делает невозможным использование в вашем сегменте асимметричной маршрутизации.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 06-Дек-03, 00:52  (MSK)
>>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>>>а поглядите-ка tcpdump -e
>>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
>>По маку поймали чела. у него был вирус. я просто отом чтоб
>>в будущем избежать подобного - хотел чемто прикрыться, например файрволом.
>>Но файрволом неполучается...:(
>
>В локальной сети файрвол, разумеется, не сможет уничтожать фреймы, для который не
>является мостом или маршрутизатором.
Какую вы ерунду говорите.... если комп не является ни мостом ни маррутизатором как через него пойдет трафик и как он будет файрволить???

>А в сети можно просить оператора аплинка дискардить пакеты, не
Я сам себе аплинл... это происхдотив внутри моей сети очень далеко от аплинка...


... какбудто другую тему писал а ответ случаяно сюда запостили :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "флуд с localhost:80"
Сообщение от magr Искать по авторуВ закладки on 05-Дек-03, 17:49  (MSK)
>Но файрволом неполучается...:(
Да можно файрволлом, если трафик черз него проходит. Сложно что-то сказать, нужен если не весь вывод правил (ipfw sh), то хотя бы фрагмент до уже приведенных строчек 005 - 007

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 06-Дек-03, 00:49  (MSK)
>>Но файрволом неполучается...:(
>Да можно файрволлом, если трафик черз него проходит. Сложно что-то сказать, нужен
>если не весь вывод правил (ipfw sh), то хотя бы фрагмент
>до уже приведенных строчек 005 - 007

До приведенных строчек стоит только count

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "флуд с localhost:80"
Сообщение от Аноним emailИскать по авторуВ закладки on 28-Дек-03, 13:00  (MSK)
>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>>а поглядите-ка tcpdump -e
>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
>По маку поймали чела. у него был вирус.
Как вирус назывался? Чем удалили?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "флуд с localhost:80"
Сообщение от temny emailИскать по авторуВ закладки on 06-Дек-03, 21:19  (MSK)
>>>никакие правила ipfw deny непомогают...
>
>>${fwcmd} add 100 pass all from any to any via lo0
>>${fwcmd} add 200 deny all from any to 127.0.0.0/8
>>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
>

Попробуй
${fwcmd} add 400 deny ip from any to any src-ip 127.0.0.1

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "флуд с localhost:80"
Сообщение от artist emailИскать по авторуВ закладки on 08-Дек-03, 00:18  (MSK)
помогает

просто tcpdump снимает трафик _до_ ipfw

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "флуд с localhost:80"
Сообщение от gara emailИскать по авторуВ закладки on 08-Дек-03, 00:24  (MSK)
>помогает
>
>просто tcpdump снимает трафик _до_ ipfw
ага...
я проверю. нопомоему счетчик заблокированных пакетов в правилах ipfw deny неувеличивался...
проверю и сообщу.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "флуд с localhost:80"
Сообщение от Юрий emailИскать по авторуВ закладки on 28-Дек-03, 02:21  (MSK)
А как сам порождающий троян называется? Пожет по названию вируса найти решения у разработчиков антивирусного ПО?

deny 127.0.0.1 у меня тоже не решает суть проблеммы.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "флуд с localhost:80"
Сообщение от artist emailИскать по авторуВ закладки on 28-Дек-03, 15:20  (MSK)
msblast, или вейча, не помню как называется точно 8)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "флуд с localhost:80"
Сообщение от gabber88 Искать по авторуВ закладки on 29-Дек-03, 16:25  (MSK)
>msblast, или вейча, не помню как называется точно 8)


это конечно гуд но лечить фсех в сети это не выход как бы это фсе прекраться бы намертво чтобы оно недобилось!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "флуд с localhost:80"
Сообщение от Dima emailИскать по авторуВ закладки on 30-Дек-03, 20:00  (MSK)
После Этого идет пакеты с реальным адресом и правила ip маршрутизации уже не помагают он может использовать любай адрес который юже узнал
Ясно что вирус уходят с WIN машин
  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "флуд с localhost:80"
Сообщение от boss1575 Искать по авторуВ закладки on 30-Дек-03, 23:59  (MSK)
>А как сам порождающий троян называется? Пожет по названию вируса найти решения
>у разработчиков антивирусного ПО?
>
>deny 127.0.0.1 у меня тоже не решает суть проблеммы.

Блин, объясняю, вирус называется MSlaught это клон MSBlast, лечится от него можно так: В диспетчере задач прибить MSLaught.exe далее из директории windows\system32 убить MSLaught.exe и поставить патчи от Microsoft против взлома RPC а точнее 135 порт.

А еще лучше ставить у всех пользователей этот патч и на роутерах запрещать какую либо маршрутизацию 135 порта, что бы он не успевал так быстро распространяться.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру