Как защитить idTCPServer от ложных RST?

← →
vers © (2005-01-13 00:47) [0]

В последнее время в нашей локалке стали очень часто использовать RST-атаку для открытых TCP-соединений. Подробно суть этой атаки описана здесь - http://www.xakep.ru/local/redirect.asp?url=/magazine/xa/067/058/1.asp
только не написано как от нее защититься. Ужасно надоедают постоянные дисконнекты из чата и обрывы соединения при скачивания больших файлов по сети. Было решено сделать чат-сервер и файловый сервер, которые были бы защищены от этой атаки. Что посоветуете? Использовать IP-протокол или как-то отлавливать атаку по TCP?

← →
kaZaNoVa © (2005-01-13 01:42) [1]

vers © (13.01.05 0:47)
решать проблему административно, вычислить IP нарушителей и отключить их от сети ..
поможет 110%

← →
Verg © (2005-01-13 09:44) [2]

> [1] kaZaNoVa © (13.01.05 01:42)

Сегменты RST атаки по-определению должны приходить от IP адреса одного из участников легального TCP соединения, иначе они бы просто проигнорировались. Это ж один из видов спуффинга...
Т.о. вычислить "нарушителей" по IP адресу не выйдет.
Разве что по MAC, если все дело происходит в одном сегменте локалки. Т.е. наблюдение с помощью снифера за TCP соединениями и определение откуда ни возмись "3-го" MAC адреса пакетов (сегментов) этого TCP соединения.

← →
kaZaNoVa © (2005-01-13 11:16) [3]

Verg © (13.01.05 9:44) [2]
да, надо определять:)))

а иначе могут просто пингом например флудить:)))
- имхо только "силовые" решения помогут ...

← →
vers © (2005-01-13 14:15) [4]

Все бы хорошо, если нарушители меняли только ip... Они еще меняют мак на мак компа, который в данный момент выключен. А в последнее время вообще начался беспредел: валят комп сетевым флудом, владелец компа перезагружается (думает, винда сглючила или еще что), а в это время хакер меняет мак и начинает хакерить от чужого имени. А потом возвращает себе законный мак. Отследить такое очень трудно. Защититься еще сложнее. Разве что управляемые свитчи поставить...
Предлагали сделать чат не на tcp-протоколе, а на ip, с авторизацией не по MAC-адресу, а по рандомной части ключа. Ключ выбрать какой-нибудь под 2 мега и обновлять его каждый день. Не знаю только, на сколько это реально.

← →
kaZaNoVa © (2005-01-13 15:59) [5]

vers © (13.01.05 14:15) [4]
да, у вас видно реальные хакеры завелись:((

> валят комп сетевым флудом

а фаерволл пробовали поставить??

← →
kaZaNoVa © (2005-01-13 16:01) [6]

а может отследить _физически_ и вызвать службу безопасности?

//статью за нарушение работы ЭВМ и сетей предьявить?

← →
Eraser © (2005-01-13 16:12) [7]

vers
Моя версия такая: скорее всего в вашем учереждении есть какой-то начинающий "супер-хакер", который на каком-нибудь сайте скачал прогу-флудер и теперь х.. страдает.
Нужно принять несколько мер, установить файр волл. У меня касперский антихакер- спасает от 95% атак. Ну и конечно вычисли кто этим занимается- скорее всего это малолетний сопляк какой-нибудь...
Пара уточнений: какого рода учереждения, где эта локалка, я так понимаю это что-то связанное с образованием. В частных сетях обычно такого не происходит ;-). И какой чат вы используете (простое любопытство ;))

PS Seek and destroy ;-))

← →
kaZaNoVa © (2005-01-13 16:19) [8]

Eraser © (13.01.05 16:12) [7]

> Моя версия такая: скорее всего в вашем учереждении
> есть какой-то начинающий "супер-хакер", который на
> каком-нибудь сайте скачал прогу-флудер и теперь х..
> страдает.

ага, я когда-то таким был, винду ломал ))))

← →
Eraser © (2005-01-13 16:31) [9]

kaZaNoVa ©
А кто не был? ;-)
Как щас помню: deltree c:\windows- что-то вроде этого ;-))

← →
vers © (2005-01-13 19:05) [10]

> kaZaNoVa © (13.01.05 15:59) [5]
> > валят комп сетевым флудом
>
> а фаерволл пробовали поставить??

компы не мои :)

> kaZaNoVa © (13.01.05 16:01) [6]
> а может отследить _физически_ и вызвать службу безопасности?
>
> //статью за нарушение работы ЭВМ и сетей предьявить?

ниже

> Eraser © (13.01.05 16:12) [7]
> vers
> Моя версия такая: скорее всего в вашем учереждении есть
> какой-то начинающий "супер-хакер", который на каком-нибудь
> сайте скачал прогу-флудер и теперь х.. страдает.

именно так. только он эту прогу раздал недоброжелателям нашей сети :)

> Нужно принять несколько мер, установить файр волл. У меня
> касперский антихакер- спасает от 95% атак. Ну и конечно
> вычисли кто этим занимается- скорее всего это малолетний
> сопляк какой-нибудь...
> Пара уточнений: какого рода учереждения,

сеть общежитий универа, в котором я учусь.

> где эта локалка,
> я так понимаю это что-то связанное с образованием. В частных
> сетях обычно такого не происходит ;-). И какой чат вы
> используете
> (простое любопытство ;))

IRC на основе моей проги-сервера :) Когда начались подозрительные дисконнекты, ставили ircd и wircd - естественно тоже падают.

> PS Seek and destroy ;-))

Уже нашли нескольких, а вот как их дестрой? Если удалить проги, опять же скачают. А отследить сложно. Нужно смотреть логи, искать где пропал пинг до компа, когда началась атака и когда пинг до компа появился. А в сети 74 компа.
Сегодня еще один умник поставил себе dhcp-сервер, это было нечто.
Думаю, надо все-таки провести несколько показательных отключений...

← →
Eraser © (2005-01-13 19:14) [11]

vers ©
Отключения это само собой ;-))
А если на серваке меры принимать, тот же файрволл?

← →
vers © (2005-01-13 19:18) [12]

стоит TMeter.
как предлагаешь его настроить? у всех же есть доступ к чату.

Я не сисадмин и с практической стороны вопроса администрирования сете не касался. Про TMeter не слышал... У меня установлен касперский антихакер, в его характеристиках написано, что он может успешно распознавать и предотвращать целую кучу сетевых атак. Попробуй, может поможет.

>vers © (13.01.05 19:05) [10]
>Уже нашли нескольких, а вот как их дестрой?
Знаешь, я тоже живу в общаге :)
При подобном хулиганстве граждан отключают на месяц (правда, такого еще не было, но в уставе сети записано), в лучшем случае :)
А при повторном навсегда.
Это не говоря уже о грубом физическом воздействии на нарушителей.
Чай не пенсионеры, морда заживает быстро :)

Значит, защититься программным способом никак... :(

Почему? В VyPress chat"e есть антифлуд, правда не знаю, как он устроен и как работает, но есть!

VyPress чат в канале отправляет сообщения по мультикаст UDP, а в приват - быстренько открывает TCP соединение отправляет сообщение и тут же его закрывает. Антифлуд там скорее всего работает на количество сообщений от одного пользователя за единицу времени. Это немного не то...

Как защитить idTCPServer от ложных RST? Найти похожие ветки