Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Как настроить TCP на сервере, чтобы избавиться от SYN флуда?
 
Проблема такая: есть локалка провайдера (~5к абонентов), в ней завелся Конфикер. Зараженные компы создают массированный SYN флуд, из-за которого у всех остальных клиентов низкая скорость и отвратительный пинг. Пробовал запрещать на роутерах 445 и 137-139 порты, но как выяснилось, эта гадость через другие лезет (видимо, выбирает рандомно). Лечить всех и ставить заплатки нереально при таком количестве народу (уже пробовали).
Пробовал вычислить зараженных с помощью сниффера, подключившись к районному свичу ноутбуком с Wireshark. Но зараженных оказалось слишком много, до всех не достучаться.
Остается только фильтровать левый трафик на серваках (хотя бы тот, который через них проходит). Есть 2 сервака (VPN и PPPoE), оба на MikroTik OS. Вот их дефолтные настройки касательно TCP трекинга:



Посоветуйте, какие настройки могут помочь в данной ситуации? Может, кто-то уже фильтровал SYN флуд подобным способом...

Кому интересно, есть небольшой фрагмент снифа, открывается Wireshark'ом.  
http://chat.dkm.dp.ua/files/Shturman/213.pcap

Заранее спасибо!
 
Это у вас лечение симптомов вместо болезни. Выделяйте из локалки карантинную подсеть с доступом к локальному WSUS и антивирусным базам. Загоните туда всех и в обычную сеть пускайте только после установки ВСЕХ заплат уязвимостей (хотя-бы на сегодня, факт наличия заплаток проверяется всё тем же WSUS) и обязательно после исчезновения симптомов (описанный флуд).

В обычной подсети, этот же WSUS можно использовать для раздачи обновлений в обычном порядке. Главное - раздать народу настройки на ваш сервер обновлений WSUS.
Изменено: disintegrator - 16.09.2009 10:05:02
 
Настройки ТСP стека мало чем помогут. Проще всего любая IDS которая тупо будет блокировать доступ от зараженных машин на сервер.
Цитата
disintegrator пишет:
обычной подсети, этот же WSUS можно использовать для раздачи обновлений в обычном порядке. Главное - раздать народу настройки на ваш сервер обновлений WSUS.
Как ты себе это продеставляешь? Сеть провайдера и он не контролирует клиентские машины.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Александр Антипов пишет:
Как ты себе это продеставляешь? Сеть провайдера и он не контролирует клиентские машины.
Опубликовать reg-файл на локальном веб/фтп-сервере и сообщить об этом любым доступным способом (сайт, чат, мыло, прочее).
 
Вообще http://www.cyberguru.ru/networks/protocols/tcpip-syn-protection.html вот статья по настройкам TCP/IP в случае SYN атак.
А вообще отключай нахрен флудящих пользователей, пускай антивирус ставят.
 
Цитата
Имя Фамилия пишет:
Вообще
А вообще отключай нахрен флудящих пользователей, пускай антивирус ставят.
Порядок отключения провайдером пользователя должен быть описан в заключенном договоре с пользователем.

И многие провайдеры, содержащие локальные сети, указывают в своих договорах, что имеют право отключать, или как-то по-иному ограничивать доступ пользователя к этой сети и/или к интернету, в случае заражения пользовательского хоста вредоносами, в особенности мешающими работе сети провайдера.
 
ну если флудить, то флудить... Пофиг на договор, если будут трындеть тыкнуть в ответ УК РФ статью 273 "Создание, использование и распространение вредоносных программ для ЭВМ" или статью 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", их действия можно квалифицировать по любой из этих статей.
 
ты тогда с их стороны умысел покажи-а то люди ведь простые, даже не подозревают что что то нарушают
 
Цитата
SAMBO пишет:
ты тогда с их стороны умысел покажи-а то люди ведь простые, даже не подозревают что что то нарушают

Не надо никаких "умыслов" доказывать. Все права и обязанности как оператора телематики, так и абонента, пользующегося услугами этого оператора четко расписаны в Постановлении Правительства РФ N 575 "Об утверждении Правил оказания телематических услуг связи" от 10.09.2007. Цитирую:
Цитата

...
27. Оператор связи вправе:
приостанавливать оказание телематических  услуг  связи    абоненту и
(или) пользователю в случае нарушения абонентом  и  (или)   пользователем
требований, предусмотренных договором, а также в случаях,   установленных
законодательством Российской Федерации;
осуществлять  ограничение  отдельных  действий  абонента  и    (или)
пользователя,  если  такие  действия  создают  угрозу  для    нормального
функционирования сети связи.


28. Абонент обязан:
...
д)  предпринимать  меры  по  защите  абонентского       терминала от
воздействия вредоносного программного обеспечения;
е) препятствовать распространению спама и вредоносного программного
обеспечения с его абонентского терминала.
Читаем, чтобы не нести отсебятину - http://www.garant.ru/hotlaw/doc/102198.htm
 
SOLDIER
я отвечал исключительно по поводу:
Цитата
Имя Фамилия Пофиг на договор, если будут трындеть тыкнуть в ответ УК РФ статью 273 "Создание, использование и распространение вредоносных программ для ЭВМ" или статью 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", их действия можно квалифицировать по любой из этих статей.
а для этих статей необходим умысел
Изменено: SAMBO - 17.09.2009 09:21:16
 
1. отключить зараженных пользователей от сети.
2. поставить внутрь сети IPS, который бы блокировал Conficker и прочую заразу.
 
А как временное средство: загоняй все левые SYN в tarpit.
Страницы: 1
Читают тему (гостей: 1)