Проблема такая: есть локалка провайдера (~5к абонентов), в ней завелся Конфикер. Зараженные компы создают массированный SYN флуд, из-за которого у всех остальных клиентов низкая скорость и отвратительный пинг. Пробовал запрещать на роутерах 445 и 137-139 порты, но как выяснилось, эта гадость через другие лезет (видимо, выбирает рандомно). Лечить всех и ставить заплатки нереально при таком количестве народу (уже пробовали). Пробовал вычислить зараженных с помощью сниффера, подключившись к районному свичу ноутбуком с Wireshark. Но зараженных оказалось слишком много, до всех не достучаться. Остается только фильтровать левый трафик на серваках (хотя бы тот, который через них проходит). Есть 2 сервака (VPN и PPPoE), оба на MikroTik OS. Вот их дефолтные настройки касательно TCP трекинга:
Посоветуйте, какие настройки могут помочь в данной ситуации? Может, кто-то уже фильтровал SYN флуд подобным способом...
Это у вас лечение симптомов вместо болезни. Выделяйте из локалки карантинную подсеть с доступом к локальному WSUS и антивирусным базам. Загоните туда всех и в обычную сеть пускайте только после установки ВСЕХ заплат уязвимостей (хотя-бы на сегодня, факт наличия заплаток проверяется всё тем же WSUS) и обязательно после исчезновения симптомов (описанный флуд).
В обычной подсети, этот же WSUS можно использовать для раздачи обновлений в обычном порядке. Главное - раздать народу настройки на ваш сервер обновлений WSUS.
Настройки ТСP стека мало чем помогут. Проще всего любая IDS которая тупо будет блокировать доступ от зараженных машин на сервер.
Цитата
disintegrator пишет: обычной подсети, этот же WSUS можно использовать для раздачи обновлений в обычном порядке. Главное - раздать народу настройки на ваш сервер обновлений WSUS.
Как ты себе это продеставляешь? Сеть провайдера и он не контролирует клиентские машины.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Имя Фамилия пишет: Вообще А вообще отключай нахрен флудящих пользователей, пускай антивирус ставят.
Порядок отключения провайдером пользователя должен быть описан в заключенном договоре с пользователем.
И многие провайдеры, содержащие локальные сети, указывают в своих договорах, что имеют право отключать, или как-то по-иному ограничивать доступ пользователя к этой сети и/или к интернету, в случае заражения пользовательского хоста вредоносами, в особенности мешающими работе сети провайдера.
ну если флудить, то флудить... Пофиг на договор, если будут трындеть тыкнуть в ответ УК РФ статью 273 "Создание, использование и распространение вредоносных программ для ЭВМ" или статью 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", их действия можно квалифицировать по любой из этих статей.
SAMBO пишет: ты тогда с их стороны умысел покажи-а то люди ведь простые, даже не подозревают что что то нарушают
Не надо никаких "умыслов" доказывать. Все права и обязанности как оператора телематики, так и абонента, пользующегося услугами этого оператора четко расписаны в Постановлении Правительства РФ N 575 "Об утверждении Правил оказания телематических услуг связи" от 10.09.2007. Цитирую:
Цитата
... 27. Оператор связи вправе: приостанавливать оказание телематических услуг связи абоненту и (или) пользователю в случае нарушения абонентом и (или) пользователем требований, предусмотренных договором, а также в случаях, установленных законодательством Российской Федерации; осуществлять ограничение отдельных действий абонента и (или) пользователя, если такие действия создают угрозу для нормального функционирования сети связи.
28. Абонент обязан: ... д) предпринимать меры по защите абонентского терминала от воздействия вредоносного программного обеспечения; е) препятствовать распространению спама и вредоносного программного обеспечения с его абонентского терминала.
Имя Фамилия Пофиг на договор, если будут трындеть тыкнуть в ответ УК РФ статью 273 "Создание, использование и распространение вредоносных программ для ЭВМ" или статью 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", их действия можно квалифицировать по любой из этих статей.