LINUX.ORG.RU
ФорумAdmin

CODE RED & SQUID


0

0

CODE RED или подобная ей эпидемия продолжается! У меня в сети большое количество Машин с M$ NT подчас, я даже не знаю где именно они стоят! Я администрирую router c прозрачным Squid-oм Как только хотябы одна NT заражается, солнечный свет меркнет, она начинает слать сотнями запросы с вирусом в инет! Squid, стонет но работает. инет перестает качаться... Существуют ли какие-либо фильтры для squid отсекающие подобные атаки?


я не вкусре чего такое это самое кодеред, но думаю, что если все упираеться в отфильтровку запрашиваемых урл, то тебя спасет обычный редиректор или acl. как делать смотри в районе http://squid.org.ua или http://squid.opennet.ru. Хотя у меня есть подозрение, что ты имеешь ввиду отсылку почтовых сообщений ? ;)

anonymous
()

Отключай заболевшую машину от инета (сквидом) - и жди пока ее админ проснется, раз уж он не озаботился защитой от червя заранее. NT без админа быть не должна, не юникс чай!

speer
()

Проблема не с почтой!
Red Code заражает машины запросом не правильной длины!
А машин у меня очень много... Всех не переловишь!
Как только заражение произошло она начинает слать в инет всякую муть
В огромных количествах! До половины пропусной способности канала!
В этом и проблема, что я не могу всех отрезать!
За два дня 14 случаев!
Нужен фильтр запросов!
AVP написали такой для NT..
Вот я и спрашиваю может есть такой фильтр и для SQuid?



asus
() автор топика

Сквиду фильтровать тяжело, формальный признак - неправильная длина пакета, это ядро должно отрабатывать.

Я прочитал мейл-лист по этому поводу, там народ говорит, что нормально сквид не должен выпускать неправильные запросы наружу, проблема в том, что он не может ответить достойно пославшему запрос, решение предлагается:

http://www.squid-cache.org/mail-archive/squid-users/200108/0348.html

Я не уверен, что это то, что ты хочешь но лучшего не нашел...

speer
()

Спасибо большое !
Почитаю...
Кажется это примерно то, что искал!

asus
() автор топика

а не легче ли бороться с причиной а не со следствием? почту входящую проверяй ежели она у тебя через твой сервер линуховый ходит. можно и без авп, вона на процмейле можно соорудить проверку почты на предмет фраз и прочего де-тона опеннет недавно видал

anonymous
()

Думаю сквидом можно резать, типа так

acl REDCODE url_regex \/default.ida?XXXXXXXXXXXXXXXXXXXXXX
http_access deny REDCODE

думаю этого будет достаточно....

Ruwa
()

Если я правильно понимаю,url_regex обрабатывает URL до знака ? Все остальное отбрасывается... Кроме того поток запросов настолько велик что SQUID переклинивает.. Судя повсему поможет только динамическая блокировка: Как только в логе squid появляется следы, ip адрес отправителя заносим в ipchains до выяснения обстоятельств....

asus
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.