Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: Swuifti в Jun 05, 2009, 15:46


Титла: Как да спра флоод на линух ?
Публикувано от: Swuifti в Jun 05, 2009, 15:46
как да забрана пинга към машината ми
Debian 5.0

Титла: Re: Как да спра флоод на линух ?
Публикувано от: kissow в Jun 05, 2009, 16:03
edit: Изтрито, съгласно т.3 от правилата ($2) на форума. А и без това не беше отговор за този въпрос.

Титла: Re: Как да спра флоод на линух ?
Публикувано от: neter в Jun 05, 2009, 16:07
Код
GeSHi (Bash):
  1. /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Изпълни си го ръчно в конзолата като root, но това трябва да си го сложиш и да се изпълнява при всяко пускане на машината, за да не го въвеждаш всеки път ;)

Титла: Re: Как да спра флоод на линух ?
Публикувано от: Swuifti в Jun 11, 2009, 20:56
ТАка спирам само командата пинг опцията към машината ми искам да направа така, че да спрат да ми флоодят машината а не да спра само опцията за пинг

Аха, а защо в първия пост не каза какво искаш, а чак сега  >:(
bop_bop_mara

Титла: Re: Как да спра флоод на линух ?
Публикувано от: petkouzunski в Jun 11, 2009, 21:26
Абе ти хубаво ще спреш отговорите на твоята машина на пинга, но не знам как ще забраниш на пакетите да идват при теб. Я кажи точно какво искаш да правиш.

Титла: Re: Как да спра флоод на линух ?
Публикувано от: victim70 в Jun 11, 2009, 21:55
Човека го 'лупкат' червяци. Братле нема отърване. Предполагам че си с реално IP. Спри си логовете или по-добре ги трий на определено време. Спри за възможно най-дълъг период услугите, или ги пренасочи на портове над 10000.
На тебе нищо няма да ти направят при добра защита, само процесорно време дръпкат. Ако не забелязват отворени стандартни портове (или филтрирани), флуда намалява с 90-95% но е много неудобно да правиш ссх към порт 10022 или http към 18080.
Глизовете и експлойтовете пробват само ако забележат нещо отворено или филтрирано (те тва товари). Иначе си пускат пакетче кратко, като нищо не им отговори, пробват още веднъж и се отказват.
Успех в ликвидирането на нежелания трафик.

Титла: Re: Как да спра флоод на линух ?
Публикувано от: Swuifti в Jun 11, 2009, 22:58
Да с реално ип съм.
Значи толкова добър беше флоода, че ми спряха нета на 2-те ипта защото съм бавил нета на целия блок даже не само в моя ...

Също така ползвам доста портове от рода на 27015 от 27010 дооо 27050
И 22 естествено

Титла: Re: Как да спра флоод на линух ?
Публикувано от: ntrance в Jun 12, 2009, 09:26
Добре де защо лъжете  хората че нямало спиране  пример

Chain INPUT (policy DROP)
target     prot opt source               destination         
DROP       all  --  host2.highland-it.com  anywhere           
DROP       all  --  80.67.6.226          anywhere           
fail2ban-ProFTPD  tcp  --  anywhere             anywhere            tcp dpt:ftp
fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh
acctboth   all  --  anywhere             anywhere           
ACCEPT     all  --  localhost            anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:infowave
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:radsec
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nbx-ser
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nbx-dir
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:gnunet
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:eli
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:cdc
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN
DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,UR


root@intersoft [~]# netstat  -plan |grep :80 |wc -l
794



И


root@intersoft [~]# netstat  -plan |grep :80 |grep SYN
root@intersoft [~]#

Аз съм спрял всякъв вид флоод

 
Това е малка част от firewall-a mi  , но като цяло това е едно доказателство , че нямам flood. И като  незнаете не лажете хората че неможело да се спира , може и още как




Титла: Re: Как да спра флоод на линух ?
Публикувано от: gat3way в Jun 12, 2009, 10:27
Спрял си друг път :)


Титла: Re: Как да спра флоод на линух ?
Публикувано от: tiran в Jun 12, 2009, 11:50
Пробвай с нещо от сорта
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP
Май работи що годе. Само ако изкаш да се конектваш отвън няма как да стане. Може и да пропуснеш -t filter  по подразбиране е тази таблица, но съм я написъл за пълнота, па и да се сещам :D

Титла: Re: Как да спра флоод на линух ?
Публикувано от: victim70 в Jun 12, 2009, 20:06
Цитат на: ntrance в Jun 12, 2009, 09:26
Добре де защо лъжете  хората че нямало спиране  пример

Chain INPUT (policy DROP)



Това спира да не влиза до подребителско ниво. Но пакетите си съществуват. С толкова голям списък от правила колко мислиш че товариш процесора, или това си се извършва без негово участие.
Всеки приет пакет минава последователно през правилата докато стигне до неговата верига DROP, ACCEPT, REJECT..... но това аотнема и време на процесора. Добрата защита е максимално кратък списък от правила.
И как ще ме спреш да те пингвам. Това че няма да знаеш че се случва не значи че не се случва. А и ако знаеш единственият начин да ме спреш е да дръпнеш кабела, моя или твоя - друг начин няма.
Написал съм как се отказват повечето експлойтове и червеи. Резултат се постига обаче след 1-2 месеца.
 Напълно разбирам проблема на Swuifti. И аз бях едно време подложен на атаки и доставчика си ми го броеше за активен трафик, който си го плащах.
Забравих че това се получава и от "дръглив" switch или hub. Понякога пакетите се зациклят странно и се генерира голям broodcast и повторения на пакети. А и от гадно WiFi устройство положението е същото.
Успех!

Титла: Re: Как да спра флоод на линух ?
Публикувано от: Swuifti в Dec 23, 2009, 04:17
Благодаря.


Powered by SMF 2.0 Beta 4 | SMF © 2006, Simple Machines LLC