+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Атака DOS PING, как отследить?

Атака DOS PING, как отследить?, RouterOS

w2jo

Guest

27.06.2005 03:01:00

Некоторые компьютеры (или компьютеры) в моей сети Hotspot периодически устраивают “атаку DOS с использованием больших/фрагментированных ICMP-пакетов” на удалённые IP-адреса. Мой маршрутизатор на входе блокирует большие ICMP-пакеты, но пока не удаётся выявить IP-адрес компьютера, который атакует. (Журнал моего маршрутизатора на входе показывает, что это идёт с IP-адреса MT-бокса, но это не особо помогает.) Должен быть способ добавить трассировку ICMP-пакетов в логи MT? (Надеюсь.) Не мог бы кто-нибудь подсказать, как лучше всего отслеживать IP-адрес компьютера-нарушителя на стороне MT? Спасибо, Джо.

changeip

Guest

27.06.2005 03:34:00

ICMP-пакеты подделать очень легко. Если это пакет ICMP типа DDoS, то скорее всего, так оно и есть. Вот где помогают фильтрация входящего/исходящего трафика — используйте правила брандмауэра, чтобы разрешать только те подсети, которые вы хостите. Не разрешайте никаких IP-адресов источника, которые не входят в ваши подсети. Вы используете UCI? Куда они пытаются забить пингами до смерти? Было бы неплохо сообщить им, что они находятся под DDoS-атакой, и заодно обезопасить вредоносное ПО, вызвавшее её – для доказательств. Если бы мы подвергались DDoS-атакам (и такое бывало несколько раз), я бы хотел, чтобы кто-нибудь изолировал заражённую машину и отправил мне вредоносное ПО, чтобы я мог его отключить. В основном надо смотреть, к какому IRC-серверу они подключаются. Сэм.

w2jo

Guest

27.06.2005 21:59:00

Спасибо за помощь. Атакующие DoS-пакеты на самом деле не выходят за пределы моей системы в более широкую WAN/Интернет-сеть. У меня есть маршрутизатор с балансировкой нагрузки по нескольким каналам WAN между MT и внешней сетью. Я уверен, что IP-адрес, отправляющий DoS-пакеты, на самом деле принадлежит одному из моих пользователей Wi-Fi, но из-за периодичности атак (примерно 10 минут в день в, казалось бы, случайное время) мне пока не удалось выяснить, кому именно нужен троян. Пока у меня есть список IP-адресов, которые точно не виновны, но ещё около 12 нужно исключить. Мне нужен какой-нибудь ICMP-логгер, который можно было бы разместить в моей сети Wi-Fi и отслеживать только ICMP-пакеты. Есть какие-нибудь предложения? Можно ли настроить логгер в MT для этого? Спасибо, Джо.

changeip

Guest

27.06.2005 23:06:00

Да, просто включи перехват пакетов и дай ему поработать немного. Тогда ты получишь MAC-адрес и IP-адрес, с которого идёт пакет. Скорее всего, кто-то заражён трояном, который зашёл в зону твоей точки доступа, чтобы проверить почту или что-то вроде того. Сэм.

pbwalsh

Guest

09.08.2005 03:19:00

У нас недавно произошло то же самое, мы запустили сниффер и выделили пользователя. Мы заблокировали его, но хотелось бы, чтобы несколько пингов не приводили к "падению" интерфейса роутера под атакой. У кого есть набор правил файрвола, чтобы отбрасывать более x пингов в секунду от любого хоста к любому другому? Я много прочитал здесь и многому научился, но ищу что-то более конкретное. Буду благодарен за любую помощь.

Eugene Guest	#6 0 09.08.2005 11:36:00 Форум по написанию скриптов. На этот вопрос уже отвечали.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры