Sorry, że piszę tak odmiennie (to chyba z powodu odmiennego myślenia).
Zainstaluj Snorta http://www.pitsoft.pl/nnd/.
Trzeba przy tym troche uważać co się robi
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Serwer atakuje hosty w sieci. http://forum.freesco.pl/viewtopic.php?f=22&t=5455 |
Strona 1 z 1 |
| Autor: | Anonymous [ wtorek, 21 września 2004, 11:59 ] |
| Tytuł: | Serwer atakuje hosty w sieci. |
Tak tak nie pomyliem sie . Wczoraj z Mateuszem doszlismy do takiego wniosku. Otoz od pewnego czasu serwer ma ogromny przyrost ilosci polączeń w tej chwili po 4 dobach ma 11,5k połączeń (http://80.53.244.234/stat/ilosc.html). Mateusz zasugerował komende cat /proc/net/ip_conntrack | wc -l zliczylo i wyszlo 11,5k nastepnie wynik zrzucilem do pliku i wyglada on nastepujaco: tcp 6 406570 ESTABLISHED src=192.168.0.1 dst=192.168.0.13 sport=54194 dport tcp 6 387812 ESTABLISHED src=192.168.0.1 dst=192.168.0.3 sport=38377 dport= tcp 6 353432 ESTABLISHED src=192.168.0.1 dst=192.168.0.13 sport=39058 dport tcp 6 323101 ESTABLISHED src=192.168.0.1 dst=192.168.0.7 sport=41909 dport= tcp 6 288509 ESTABLISHED src=192.168.0.1 dst=192.168.0.12 sport=50401 dport tcp 6 269070 ESTABLISHED src=192.168.0.1 dst=192.168.0.3 sport=58946 dport= tcp 6 238176 ESTABLISHED src=192.168.0.1 dst=192.168.0.4 sport=43327 dport= Przyrost zauwazylem po tym jak musialem przepiac modem z TPSA do HUBA, a Hub jest wpiety do słicza i dopiero ze słicza ida kabelki do Serwera. Czy ktos sie spotkal z czyms takim ? |
|
| Autor: | Koriolan [ wtorek, 21 września 2004, 12:57 ] |
| Tytuł: | |
Z PODOBNYM czymś ja się spotkałem. Kaza lub bittorrent po podłaczeniu się do serwera w internecie daje namiary na swój ip i np. po wyłaczeniu kompa z 192.168.0.10 DALEJ idą pingi czy inne próby nawiązania kontaktu do tego komputera. Przebijają się przez NAT. Nawet miałem zamiar zapytać zCiecha jak wyłączyć pakiety z adresem do 192.168.0.10 ale mi jakoś zleciało. Jak ktoś ma ochotę to mozna to łapać snort'em. Jednym zdaniem: coś podobnego mam po nawiązaniu przez komp z sieci kontaktu w internecie. |
|
| Autor: | Anonymous [ wtorek, 21 września 2004, 16:11 ] |
| Tytuł: | |
Koriolan pisze: Z PODOBNYM czymś ja się spotkałem. Kaza lub bittorrent po podłaczeniu się do serwera w internecie daje namiary na swój ip i np. po wyłaczeniu kompa z 192.168.0.10 DALEJ idą pingi czy inne próby nawiązania kontaktu do tego komputera. Przebijają się przez NAT. Nawet miałem zamiar zapytać zCiecha jak wyłączyć pakiety z adresem do 192.168.0.10 ale mi jakoś zleciało. Jak ktoś ma ochotę to mozna to łapać snort'em.
Jednym zdaniem: coś podobnego mam po nawiązaniu przez komp z sieci kontaktu w internecie. No niby ok ale wczesniej ludzie tez uzywali ustrojstwa i nie bylo takich problemów. Może jakiś tips jak sprawdzić która wsza rozpoczyna całą tą zabawę z zapychaniem ? |
|
| Autor: | Koriolan [ wtorek, 21 września 2004, 16:17 ] |
| Tytuł: | |
Sorry, że piszę tak odmiennie (to chyba z powodu odmiennego myślenia). Zainstaluj Snorta http://www.pitsoft.pl/nnd/. Trzeba przy tym troche uważać co się robi
|
|
| Autor: | RaaDaaR [ wtorek, 21 września 2004, 21:15 ] |
| Tytuł: | |
Teoria : Wysłać pakiet z adresem docelowym Twojego DSL'a, podmieniając adres źródłowy na 192.168.0.255. Serwer odpowie wszystkim hostom z podsieci ? Rozwiązanie - zablokować na interfejsie zewnętrznym wszystkie pakiety z adresem źródłowym sieci wewnętrznej ?. To tylko domniemania. |
|
| Autor: | Anonymous [ środa, 22 września 2004, 08:50 ] |
| Tytuł: | |
Koriolan pisze: Sorry, że piszę tak odmiennie (to chyba z powodu odmiennego myślenia).
Zainstaluj Snorta http://www.pitsoft.pl/nnd/. Trzeba przy tym troche uważać co się robi Hmm szukalem szukalem i nie znalazlem 
|
|
| Autor: | Anonymous [ środa, 22 września 2004, 08:51 ] |
| Tytuł: | |
RaaDaaR pisze: Teoria : Wysłać pakiet z adresem docelowym Twojego DSL'a, podmieniając adres źródłowy na 192.168.0.255. Serwer odpowie wszystkim hostom z podsieci ? Rozwiązanie - zablokować na interfejsie zewnętrznym wszystkie pakiety z adresem źródłowym sieci wewnętrznej ?. To tylko domniemania.
RaaDaaR'q no ja Cie baardzo lubie ale jak do jasnej cholery mam wykonac to cos powyzej naskrobal ?? |
|
| Autor: | mutaz [ środa, 22 września 2004, 09:17 ] |
| Tytuł: | Re: Serwer atakuje hosty w sieci. |
robercik pisze: Tak tak nie pomyliem sie . Wczoraj z Mateuszem doszlismy do takiego wniosku. Otoz od pewnego czasu serwer ma ogromny przyrost ilosci polączeń w tej chwili po 4 dobach ma 11,5k połączeń (http://80.53.244.234/stat/ilosc.html). Mateusz zasugerował komende
cat /proc/net/ip_conntrack | wc -l zliczylo i wyszlo 11,5k nastepnie wynik zrzucilem do pliku i wyglada on nastepujaco: Przyrost zauwazylem po tym jak musialem przepiac modem z TPSA do HUBA, a Hub jest wpiety do słicza i dopiero ze słicza ida kabelki do Serwera. Czy ktos sie spotkal z czyms takim ? u mnie jest to samo- nic nie zmieniałem od 3miesięcy a wcześniej tego nie było, to nie wina huba. Co ciekawsze router "atakuje" mi kompy które nie instnieją- mam na razie 40 osób (ujęte w masq, htb, firewall) a on sieje po całej klasie! |
|
| Autor: | jarekjarek [ środa, 22 września 2004, 11:56 ] |
| Tytuł: | |
kolego a sprawdz ilosc polonczen serwera ale bez włączonych statystyk mtgr chodzi dokładnie o ilość komputerów online nie jestem expertem ale tez miałem ten pomiar i doszedlem do wniosku ze serwer wysyła pakiety zeby sprawdzic obecność komputerów. |
|
| Autor: | Anonymous [ środa, 22 września 2004, 12:12 ] |
| Tytuł: | |
jarekjarek pisze: kolego a sprawdz ilosc polonczen serwera ale bez włączonych statystyk mtgr chodzi dokładnie o ilość komputerów online nie jestem expertem ale tez miałem ten pomiar i doszedlem do wniosku ze serwer wysyła pakiety zeby sprawdzic obecność komputerów.
BINGOOO
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|