Заваливают входящим трафиком

Теоретически можно, практически - никак :(

Если pppX, то можно АОН поставить. А так наверно прийдется начать использовать syn-cookie и модуль limit у iptables (если ядро 2.4).

> то можно АОН поставить
Ага, это чтобы определять номер прова, которому ты звонишь, да ??! ;)

> использовать syn-cookie и модуль limit у iptables (если ядро 2.4).
Вопрос был как узнать КТО, а не КАК с этим бороться.

Узнать КТО вряд ли удастся, т.к. адреса скорее всего подделаны.
Похоже на smurf атаку :(

А может пров таким образом трафик накручивает ? (шутка)
А это мысль ;)

Зависит от толщины канала. Судя то тому, что у тебя Linux и ppp, канал довольно тонкий. То есть попросить прова о взаимодействии ты врят ли сможешь.

Но попытка - не пытка. Попробый.

К сожалению, даже согласие твоего прова в содействии может ничего не дать: надо проследить ВСЮ цепочку прохождения пакетов. К тому же не факт, что они всегда по одному маршруту ходить будут. А представь, что "баловник" где-нибудь в Папуа-Новая-Гвинея живет :(
И поверь, у админов на бэкбонах есть куда более серьёзные проблемы, чем левые пакеты, льющиеся к тебе, и добиться их содействия будет очень непросто (скорее невозможно). Какое, например, немецкому админу дело до бедного, задр.....ого левыми пакетами Васи Пупкина из села Гадюкино. У него трафик 15Г в сутки в одну сторону, а ты тут со своими пакетами. К твоему прову отношение "там" будет не намного лучше :(

Вот такие вот дела...

А ещё сюда загляни
http://www.linux.org.ru/jump-message.jsp?msgid=150522
тоже по теме

это оспорабельно.
Если я пойду к своему провайдеру, он мне поможет.
А если мой провайдер пойдет к тому-то еще, тот тоже ему скорее всего поможет.

Но это лишь по причине величины финансовых взаимоотношений.

Но вообще нормальные провайдеры уже давно спуфинг запрещают.

Во, у меня недавно такое было. С сотни, наверное адресов, с 80 порта на произвольный. Причем адреса источников не поддельные.
Пакеты шли на адрес, на котором стояла ВинНт (или 2к, не знаю) заразившаяся незадолго до того Нимдою.
Провайдер должен помочь, если нормальный провайдер. В моем случае на бэкбоне, в итоге, перекрыли.

Ты, кстати, опиши поподробнее.

Половина ответов не по теме :) Запусти ipchains или iptables у себя, с логированием необычных коннетов "Необычные" - определиш в правилах фильтра. И любуйся, сколько душа... От подделки конечно нет гарантии . Но хоть запретить всем кому нельзя - уже приятно. А так, в голом виде в Инет лезть... Мазо пахнет :) А заодно проверить надо, если есть сеть и винды в ней, нету-ли троянов.

люблю Анонимусов.

Постинг атого анонимуса объявляю лучшим постингом месяца!

PS. Мы-то бедные не знали, что надо запустить ipchains или iptables и любоваться красотами "необычных" пакетов, потому что они ходят в Инет голые а нам голыми ходить нельзя, потому как нудизм в интернете - это ужастно ;)

2 oxonian: COOL !!!

> Постинг атого анонимуса объявляю лучшим постингом месяца!
На первую страницу его ! :)

> И любуйся, сколько душа...
И пока "любуешься, сколько душа..." подсчитывай денюшки, которые ты ДОЛЖЕН БУДЕШЬ заплатить своему прову за левые пакеты :)

Пакеты с 80-го адреса на произвольный были предназначены для прохождения файрволла, поскольку очень часто стоят такие цепочки:
allow ip from any 80 to me
Обычный хитропопый скан.
Выводы: надо закрывать сначала все открытые порты, потом уже открывать порты 80 на удаленных машинах.
deny ip from any to me порты, которые открыты на локальной машине.
allow ip from any 80 to me

Еще вариант - что машина лезет в инет на сайты и каким-либо образом отрубаются пакеты при установлении связи

С уважением,
Юшкин Сергей Викторович

Ну мля народ неужели трудно в yandex пару слов набрать и пол часа потратить на поиски нужной инфы ? yandex --> <"Packet Filtering HOWTO">

Большинство людей имеет единственное PPP соединение к Интернет, и не хотят никого кто бы вошел в их сеть или firewall-хост: ## Загрузим модули для отслеживания соединений(не нужно если они встроены в ядро) # insmod ip_conntrack # insmod ip_conntrack_ftp ## Создаем цепь которая блокирует новые соединения, исключая те которые исходят изнутри сети. # iptables -N block # iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT # iptables -A block -j DROP ## Назначим всему входящему и маршрутизируемому траффику проход через наше правило. # iptables -A INPUT -j block # iptables -A FORWARD -j block

Ну мля народ неужели трудно в yandex пару слов набрать и пол часа потратить на поиски нужной инфы ?
yandex --> <"Packet Filtering HOWTO">

Большинство людей имеет единственное PPP соединение к Интернет, и не хотят никого кто бы вошел в их сеть или firewall-хост:
## Загрузим модули для отслеживания соединений(не нужно если они встроены в ядро)
# insmod ip_conntrack
# insmod ip_conntrack_ftp ## Создаем цепь которая блокирует новые соединения, исключая те которые исходят изнутри сети.
# iptables -N block
# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
# iptables -A block -j DROP ## Назначим всему входящему и маршрутизируемому траффику проход через наше правило.
# iptables -A INPUT -j block
# iptables -A FORWARD -j block

Я точно не помню как, НО!!! есть фича, по ip-адресу узнать физический номер сетевухи, а в ip покетах он уже есть, остается проделать обратную операцию!!! Удачи!

2самый-первый-анонимус-с-проблемой: ставишь iptables, logging и весь этот праздник смерти флудерам, пишешь логи, МНОГО логов, отправляешь провайдеру и говоришь, что возьмешь его за яйца, если не прикроют на тебя флуд. за 4 года этот способ ни разу меня не подводил :)

> что возьмешь его за яйца, если не прикроют на тебя флуд. за 4 года этот способ ни разу меня не подводил :)

провайдер посылает тебя "на", потому что за трафик уже заплачено и он прошел. Исключение составляет случай, если у тебя хорошие отношения с провайдером, по причине линка в 35Mb к нему (ну это не про Россию, конечно) или потому что его директор или, скажем, сисадмин твой бывший однокласник/одногрупник/сослуживец/пили-вместе-пиво.

все желающие писать сюда, обратите внимание на тему письма. поверьте, большинство постоянных читателей этого форума умеют настроить ipchins/iptables. вопрос состоял в противодействии флуду со спуфнутым адресом отправителя.

впрочем, надо в FAQ уже.