Forums:
Saludos, checando mi conexion a inet pues he descubierto varias ips como x ejemplo esta:
78.108.178.39==> network.upl.cz
las cuales consumen ancho de banda de bajada a nivel de TCP.
dispongo de un proxy con Nat la eth1 con ip publica y la eth0 para la red interna, con un buen firewall no han entrado a mi red interna pero el consumo esporadico de ancho de banda de mi enlace pues hace todo mas lento.
Utilizo jnettop + iptraf + wireshark + iftop, para monitorear en vivo el trafico, esto montado en en centos 5.1 con squid+iptables, todas las conexiones atacantes se realizan por la interfaz eth1, la pregunta del millon como bloquear estos ataques, que regla mas le puedo poner a mi script de firewall.
Buscando en san g00gle veo q esa ip (78.108.178.39) esta marcada como web atacante malditos hackers...
Gracias x su ayuda.
PD:En mi script luego de aceptar conexiones entrantes y demas pongo
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP
para cerrar todo acceso indebido, sera q tambien cierro el acceso a la eth1
Por más reglas que pongas,
Por más reglas que pongas, los paquetes ya pasaron por tu enlace. Para cuando tu tienes el paquete ya es demasiado tarde y la capacidad de tu enlace ya fue consumida. Tu ISP tiene que filtrar las redes de donde te vienen esos picos de tráfico y tú tienes que decirles. Documenta y haz el pedido.
--
haber != a ver
ha != a
Umm entonces supuestamente
Umm entonces supuestamente se les colan a la red de mi ISP, el lio es q son varias y diferentes entonces eso de notificar esta dificil, tu sabes q los atacantes utilizan varias ips y diferentes tecnicas de ataque! deberia haber otra solucion ?
Lo bueno es q solo llegan a mi eth1 y no entran a mi red, pero igual estan robando ancho de banda
********
Salu2 and Have Fun
falcom wrote: deberia haber
[quote=falcom]deberia haber otra solucion ?
[/quote]
Conceptualmente, necesitarías decidir si quieres o no el paquete antes de que cruce el enlace entre el ISP y tú. Esto implica que necesitas acceso al paquete antes de que éste te llegue, lo cual es imposible. Solo alguien que tenga el paquete puede decidir si lo quiere o no.
Bienvenido a la Internet: no tienes voz ni voto acerca de lo que te llega. Si te hacen un DDoS, no te queda más que acudir a tu ISP (para eso se les paga).
--
haber != a ver
ha != a
Pues tocara notificar a los
Pues tocara notificar a los gringos (ISP) no me toca otra...
********
Salu2 and Have Fun
La vida fuera más fácil si
La vida fuera más fácil si estuviera implementado el "bit maligno" mencionado en este RFC ;)
--
haber != a ver
ha != a
Aca esta el meollo del
Aca esta el meollo del asunto:
[quote]
the evil bit MUST be set by default on packets
emanating from programs running at such levels. However, the system
MAY provide an API to allow it to be cleared for non-malicious
activity by users who normally engage in attack behavior.
[/quote]
no se si ya lo arreglarian en el nuevo IPV6
********
Salu2 and Have Fun