Продолжение Linux и DoS.Generic.SYNFlood

0

0

И снова здравстурйие

поскольку ранее заведенная мной ветка заглохла а проблема не решена я поднимаю ее снова

прошлая ветка тут http://www.linux.org.ru/view-message.jsp?msgid=3318622

также появилась немного новой информации

1 вот что мне скинул админ сети 10.12.2008 19:39:17 TCP от 192.168.6.92 на локальный порт 139 Отсутствует Обнаружено: DoS.Generic.SYNFlood

2 поскльу ничего другого результата не дало решил просто заретит все udp исходящие покеты кроме DHCP

iptables -A OUTPUT -p UDP -s 0/0 -j DROP

iptables -A OUTPUT -p UDP -s 0/0 --sport 53 -j ACCEPT

(в iptables не разбираюс потому сильно не бейте)

Это кажется дало результаты но прерстала перестал работать инет и fusesnmb

потому вопросы

1 как всетаки выщемить эту животину

2 или как хотябы построить нармальный фильтр

Ссылка

←	сколько в среднем весит линуs?

Страницы djvu

→

походу вот это относится к атаке 

11:43:02.902777 IP 192.168.6.92.46282 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
11:43:04.730043 IP 192.168.6.92.52017 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
11:43:04.934023 IP 192.168.6.92.46282 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
11:43:06.826387 IP 192.168.6.92.56765 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
11:43:07.023863 IP 192.168.6.92.50211 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
11:43:08.850041 IP 192.168.6.92.56765 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
11:43:09.046018 IP 192.168.6.92.50211 > 192.168.6.57.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST

SherKhan
(13.12.08 12:44:49 MSK) автор топика

Ответ на: комментарий от SherKhan 13.12.08 12:44:49 MSK

и вот это 

11:42:54.222027 IP 192.168.6.92.50054 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:54.234020 IP 192.168.6.92.47770 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:54.498022 IP 192.168.6.92.50054 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:54.510023 IP 192.168.6.92.47770 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:54.774093 IP 192.168.6.92.39735 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:54.786085 IP 192.168.6.92.33705 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:55.050036 IP 192.168.6.92.39735 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:55.062024 IP 192.168.6.92.33705 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:55.326023 IP 192.168.6.92.39735 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:42:55.338027 IP 192.168.6.92.33705 > 192.168.6.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

SherKhan
(13.12.08 12:49:05 MSK) автор топика

Ссылка

А если так: iptables -A OUTPUT -p UDP -m multiport --dports 137,139 -j DROP ?

AX ★★★★★
(13.12.08 13:13:52 MSK)

Ответ на: комментарий от AX 13.12.08 13:13:52 MSK

вродибы помогло только добавил еще 138 порт

iptables -A OUTPUT -p UDP -m multiport --dports 137,138,139 -j DROP

спосибо

но хоршобы всетаки его выщемить

SherKhan
(13.12.08 13:44:00 MSK) автор топика

Ответ на: комментарий от SherKhan 13.12.08 13:44:00 MSK

но опять престал работать fusesmb

SherKhan
(13.12.08 13:46:41 MSK) автор топика

Ответ на: комментарий от SherKhan 13.12.08 13:46:41 MSK

еще бы оно работало, то что ты показал это не атака и не влуд, а как работа samba/netbios :D

v12aml ★★
(13.12.08 15:02:36 MSK)

Ответ на: комментарий от v12aml 13.12.08 15:02:36 MSK

> еще бы оно работало, то что ты показал это не атака и не влуд, а как работа samba/netbios :D

я уже сам начал подозревать что это не вирус

тоесть вы подтверждаете что это запросы самбы?

а что про этот отчет?

10.12.2008 19:39:17 TCP от 192.168.6.92 на локальный порт 139 Отсутствует Обнаружено: DoS.Generic.SYNFlood

это тоже реакция на самбу?

SherKhan
(13.12.08 15:20:33 MSK) автор топика

Ссылка

> iptables -A OUTPUT -p UDP -s 0/0 -j DROP

> iptables -A OUTPUT -p UDP -s 0/0 --sport 53 -j ACCEPT

> (в iptables не разбираюс потому сильно не бейте)

Правила применяются по порядку. В данном случае все данные будут подходить под первую строчку. Нужно поменять их местами, как минимум.

Igron ★★★★★
(13.12.08 22:44:53 MSK)

Ответ на: комментарий от Igron 13.12.08 22:44:53 MSK

с этой частью я уже разобрался

более интересен вопрос из предыдущего поста

SherKhan
(13.12.08 22:51:49 MSK) автор топика

Ответ на: комментарий от SherKhan 13.12.08 22:51:49 MSK

А нет никакого вопроса там. Принимают работу fusesmb за действия вредоносного ПО. Мало ли в мире идиотов?

Попробуй cifs на нужные ресурсы монтировать, если уж так samba нужна. А ещё лучше откажись от использования мелкомягких шар вообще. Ибо не труъ.

anonymous
(14.12.08 00:15:53 MSK)

Ответ на: комментарий от anonymous 14.12.08 00:15:53 MSK

>Мало ли в мире идиотов?

я так подозреваю что этот идиот Касперский

>Попробуй cifs на нужные ресурсы монтировать, если уж так samba нужна.

я так ранше и делал но через fusesmb удобней

SherKhan
(14.12.08 00:32:31 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	сколько в среднем весит линуs?

General

Страницы djvu

→

Похожие темы