Форум: "Сети";
Текущий архив: 2005.03.20;
Скачать: [xml.tar.bz2];
ВнизКак защитить idTCPServer от ложных RST? Найти похожие ветки
← →
vers © (2005-01-13 00:47) [0]В последнее время в нашей локалке стали очень часто использовать RST-атаку для открытых TCP-соединений. Подробно суть этой атаки описана здесь - http://www.xakep.ru/local/redirect.asp?url=/magazine/xa/067/058/1.asp
только не написано как от нее защититься. Ужасно надоедают постоянные дисконнекты из чата и обрывы соединения при скачивания больших файлов по сети. Было решено сделать чат-сервер и файловый сервер, которые были бы защищены от этой атаки. Что посоветуете? Использовать IP-протокол или как-то отлавливать атаку по TCP?
← →
kaZaNoVa © (2005-01-13 01:42) [1]vers © (13.01.05 0:47)
решать проблему административно, вычислить IP нарушителей и отключить их от сети ..
поможет 110%
← →
Verg © (2005-01-13 09:44) [2]
> [1] kaZaNoVa © (13.01.05 01:42)
Сегменты RST атаки по-определению должны приходить от IP адреса одного из участников легального TCP соединения, иначе они бы просто проигнорировались. Это ж один из видов спуффинга...
Т.о. вычислить "нарушителей" по IP адресу не выйдет.
Разве что по MAC, если все дело происходит в одном сегменте локалки. Т.е. наблюдение с помощью снифера за TCP соединениями и определение откуда ни возмись "3-го" MAC адреса пакетов (сегментов) этого TCP соединения.
← →
kaZaNoVa © (2005-01-13 11:16) [3]Verg © (13.01.05 9:44) [2]
да, надо определять:)))
а иначе могут просто пингом например флудить:)))
- имхо только "силовые" решения помогут ...
← →
vers © (2005-01-13 14:15) [4]Все бы хорошо, если нарушители меняли только ip... Они еще меняют мак на мак компа, который в данный момент выключен. А в последнее время вообще начался беспредел: валят комп сетевым флудом, владелец компа перезагружается (думает, винда сглючила или еще что), а в это время хакер меняет мак и начинает хакерить от чужого имени. А потом возвращает себе законный мак. Отследить такое очень трудно. Защититься еще сложнее. Разве что управляемые свитчи поставить...
Предлагали сделать чат не на tcp-протоколе, а на ip, с авторизацией не по MAC-адресу, а по рандомной части ключа. Ключ выбрать какой-нибудь под 2 мега и обновлять его каждый день. Не знаю только, на сколько это реально.
← →
kaZaNoVa © (2005-01-13 15:59) [5]vers © (13.01.05 14:15) [4]
да, у вас видно реальные хакеры завелись:((
> валят комп сетевым флудом
а фаерволл пробовали поставить??
← →
kaZaNoVa © (2005-01-13 16:01) [6]а может отследить _физически_ и вызвать службу безопасности?
//статью за нарушение работы ЭВМ и сетей предьявить?
← →
Eraser © (2005-01-13 16:12) [7]vers
Моя версия такая: скорее всего в вашем учереждении есть какой-то начинающий "супер-хакер", который на каком-нибудь сайте скачал прогу-флудер и теперь х.. страдает.
Нужно принять несколько мер, установить файр волл. У меня касперский антихакер- спасает от 95% атак. Ну и конечно вычисли кто этим занимается- скорее всего это малолетний сопляк какой-нибудь...
Пара уточнений: какого рода учереждения, где эта локалка, я так понимаю это что-то связанное с образованием. В частных сетях обычно такого не происходит ;-). И какой чат вы используете (простое любопытство ;))
PS Seek and destroy ;-))
← →
kaZaNoVa © (2005-01-13 16:19) [8]Eraser © (13.01.05 16:12) [7]
> Моя версия такая: скорее всего в вашем учереждении
> есть какой-то начинающий "супер-хакер", который на
> каком-нибудь сайте скачал прогу-флудер и теперь х..
> страдает.
ага, я когда-то таким был, винду ломал ))))
← →
Eraser © (2005-01-13 16:31) [9]kaZaNoVa ©
А кто не был? ;-)
Как щас помню: deltree c:\windows- что-то вроде этого ;-))
← →
vers © (2005-01-13 19:05) [10]
> kaZaNoVa © (13.01.05 15:59) [5]
> > валят комп сетевым флудом
>
> а фаерволл пробовали поставить??
компы не мои :)
> kaZaNoVa © (13.01.05 16:01) [6]
> а может отследить _физически_ и вызвать службу безопасности?
>
> //статью за нарушение работы ЭВМ и сетей предьявить?
ниже
> Eraser © (13.01.05 16:12) [7]
> vers
> Моя версия такая: скорее всего в вашем учереждении есть
> какой-то начинающий "супер-хакер", который на каком-нибудь
> сайте скачал прогу-флудер и теперь х.. страдает.
именно так. только он эту прогу раздал недоброжелателям нашей сети :)
> Нужно принять несколько мер, установить файр волл. У меня
> касперский антихакер- спасает от 95% атак. Ну и конечно
> вычисли кто этим занимается- скорее всего это малолетний
> сопляк какой-нибудь...
> Пара уточнений: какого рода учереждения,
сеть общежитий универа, в котором я учусь.
> где эта локалка,
> я так понимаю это что-то связанное с образованием. В частных
> сетях обычно такого не происходит ;-). И какой чат вы
> используете
> (простое любопытство ;))
IRC на основе моей проги-сервера :) Когда начались подозрительные дисконнекты, ставили ircd и wircd - естественно тоже падают.
> PS Seek and destroy ;-))
Уже нашли нескольких, а вот как их дестрой? Если удалить проги, опять же скачают. А отследить сложно. Нужно смотреть логи, искать где пропал пинг до компа, когда началась атака и когда пинг до компа появился. А в сети 74 компа.
Сегодня еще один умник поставил себе dhcp-сервер, это было нечто.
Думаю, надо все-таки провести несколько показательных отключений...
← →
Eraser © (2005-01-13 19:14) [11]vers ©
Отключения это само собой ;-))
А если на серваке меры принимать, тот же файрволл?
← →
vers © (2005-01-13 19:18) [12]стоит TMeter.
как предлагаешь его настроить? у всех же есть доступ к чату.
← →
Eraser © (2005-01-13 19:21) [13]Я не сисадмин и с практической стороны вопроса администрирования сете не касался. Про TMeter не слышал... У меня установлен касперский антихакер, в его характеристиках написано, что он может успешно распознавать и предотвращать целую кучу сетевых атак. Попробуй, может поможет.
← →
raidan © (2005-01-13 19:49) [14]>vers © (13.01.05 19:05) [10]
>Уже нашли нескольких, а вот как их дестрой?
Знаешь, я тоже живу в общаге :)
При подобном хулиганстве граждан отключают на месяц (правда, такого еще не было, но в уставе сети записано), в лучшем случае :)
А при повторном навсегда.
Это не говоря уже о грубом физическом воздействии на нарушителей.
Чай не пенсионеры, морда заживает быстро :)
← →
kaZaNoVa © (2005-01-14 08:52) [15]raidan © (13.01.05 19:49) [14]
COOL !!
← →
vers © (2005-01-14 16:17) [16]Значит, защититься программным способом никак... :(
← →
Eraser © (2005-01-14 16:49) [17]Почему? В VyPress chat"e есть антифлуд, правда не знаю, как он устроен и как работает, но есть!
← →
vers © (2005-01-15 23:29) [18]VyPress чат в канале отправляет сообщения по мультикаст UDP, а в приват - быстренько открывает TCP соединение отправляет сообщение и тут же его закрывает. Антифлуд там скорее всего работает на количество сообщений от одного пользователя за единицу времени. Это немного не то...
Страницы: 1 вся ветка
Форум: "Сети";
Текущий архив: 2005.03.20;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.042 c