Velke mnozstvi syn paketu

Pondělí Květen 19 08:35:33 CEST 2003

On Mon, May 19, 2003 at 08:12:10AM +0200, Jan Houstek wrote:
> Mel jsem snahu na firewallu nastavit ochranu pred syn-floodingem priblizne
> nasledujicim zpusobem
> 
> iptables -N syn-flood
> iptables -A syn-flood -m limit --limit 1/s --limit-burst 200 -j RETURN
> iptables -A syn-flood -m limit --limit 1/m --limit-burst 1 -j LOG \
> 	--log-prefix "IPTABLES syn-flood: "
> iptables -A syn-flood -j DROP
> iptables -A INPUT -i $INET_IFACE -p tcp --syn -j syn-flood
> 
> jenze pres nesmyslne velkou hodnotu 200 syn paketu za 1s to stale cas od
> casu narazi. Pritom to nevypada jako pokus o nejaky utok, sice jsem to
> zatim hloubeji nezkoumal, ale napr. se to deje z naprosto nahodych adres.

Tak se maskuje clovek, ktery dela portscan (posila datagramy s
nesmyslnymi zpatecnimi adresami, aby se v nich skutecny stroj
"ztratil").

> Nez v tom zacnu vic zkoumat, tak bych se chtel zeptat, zda to je normalni.
> Jedna se o celkem rozsahlou LAN.

Jiste neni. V posledni dobe mi slozil firewall s Linuxem nejaky trojsky
kun z windows, ktery scannoval snad cely internet (skrz prazdnou 10Mbps
linku). Musel jsem se stavoveho firewallu vzdat, protoze neslo temer ani
prepinat textove konzole. Firewall se po odpojeni zdroje problemu
rozbehl, ale nemuzu riskovat, ze mi to nekdo udela za par dni zase.

Zkusil bych pouzit snort, tam by mohlo byt videt neco blizsiho.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/