Изпечатай

[limbozon]

Здравейте!Интересуваме дали има начин да се разбере кога едно ип се крие зад прокси и ако се крие как да разбера истинското му ип?Става  дума за това че имам рутер D'link и в логовете му днес видях опити за DOS атака.Разбрах ip-то но си мисля че може да се крие зад прокси или да е зомбинирал някое pc?Дали има някакъв софтуер или команда за линукс които да ми помогне?Мерси предварително.

[ntrance]

Само информативно ,  след като го разбереш какво ? , а й как разбра  , че е дос атака?

[limbozon]

В лога си пишеше.Не съм го измислил.Какво ще направя ли?Засега нищо но ако се повтори ще действам.

[limbozon]

Тъпо е да правиш мизерии след като можеш да използваш такива знания за по полезни неща.

[ntrance]

E как разбра де ,  в лога ли пише dosatack ? 

[limbozon]

да в лога пишеше даже и вида на дос атаката.

[limbozon]

Някакви идеи?

[ntrance]

paste  част от лога  тука  , където се вижда ип-то и   атаката ..

[limbozon]

Пише следното; ден, час:DOS Attack type teardrop.И така няколко пъти една минута преди атаката едно ип-4 пъти се е опитвало да се логне според мен това е ип-то.

[limbozon]

Максимално силен firewall и това е решението.Ще трябва да си поиграя с IPtables.

[ntrance]

Това е достатъчно

/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
# stop Xmas Tree type scanning
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# stop null scanning
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
# SYN/RST
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# SYN/FIN
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# stop sync flood
/sbin/iptables -N SYNFLOOD
/sbin/iptables -A SYNFLOOD -p tcp --syn -m limit --limit 1/s -j RETURN
/sbin/iptables -A SYNFLOOD -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp -m state --state NEW -j SYNFLOOD

[limbozon]

Мерси много.