Автор Тема: Глючит интернет (Прочитано 4559 раз)

bukass · « **Ответ #15 :** 08 Января 2014, 22:52:31 »

Vexare,
тс = топик стартер.

koshev · « **Ответ #16 :** 08 Января 2014, 22:54:41 »

2-я станица пошла

Я думаю, что нужно начинать описывать свою сеть и сервисы в ней. И конфигурацию, о чем со второго поста прошу.

bukass · « **Ответ #17 :** 08 Января 2014, 22:59:54 »

присоединяюсь k KT315
+ лог авторизации дай посмотреть за 8 число. /var/log/auth.log. Ну и чем защищаешься еще скажи.

Vexare · « **Ответ #18 :** 08 Января 2014, 23:06:09 »

Цитата: bukass от 08 Января 2014, 22:59:54

присоединяюсь k KT315
+ лог авторизации дай посмотреть за 8 число. /var/log/auth.log. Ну и чем защищаешься еще скажи.

Ща я обновляю прошивку на роутере, говорят пофиксили ддос уязвимости прям....
Пару минут, все скажу.

Пользователь решил продолжить мысль 08 Января 2014, 23:13:28:

Такс, в auth.log очень много этого:

Код: [Выделить]

Jan  8 15:17:01 Sitebook CRON[600]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 15:17:01 Sitebook CRON[600]: pam_unix(cron:session): session closed for user root
Jan  8 15:20:01 Sitebook CRON[801]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 15:20:02 Sitebook CRON[801]: pam_unix(cron:session): session closed for user smmsp
Jan  8 15:39:01 Sitebook CRON[1625]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 15:40:01 Sitebook CRON[2291]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 15:40:01 Sitebook CRON[2291]: pam_unix(cron:session): session closed for user smmsp
Jan  8 15:43:11 Sitebook CRON[1625]: pam_unix(cron:session): session closed for user root
Jan  8 16:00:01 Sitebook CRON[5466]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 16:00:01 Sitebook CRON[5466]: pam_unix(cron:session): session closed for user smmsp
Jan  8 16:09:01 Sitebook CRON[5837]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 16:17:01 Sitebook CRON[11784]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 16:17:01 Sitebook CRON[11784]: pam_unix(cron:session): session closed for user root
Jan  8 16:20:01 Sitebook CRON[14080]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 16:20:01 Sitebook CRON[14080]: pam_unix(cron:session): session closed for user smmsp
Jan  8 16:32:41 Sitebook CRON[5837]: pam_unix(cron:session): session closed for user root
Jan  8 16:39:01 Sitebook CRON[23586]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 16:40:01 Sitebook CRON[24327]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 16:40:02 Sitebook CRON[24327]: pam_unix(cron:session): session closed for user smmsp
Jan  8 16:46:00 Sitebook CRON[23586]: pam_unix(cron:session): session closed for user root
Jan  8 17:00:01 Sitebook CRON[29331]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 17:00:01 Sitebook CRON[29331]: pam_unix(cron:session): session closed for user smmsp
Jan  8 17:09:01 Sitebook CRON[29603]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 17:09:14 Sitebook CRON[29603]: pam_unix(cron:session): session closed for user root
Jan  8 17:17:01 Sitebook CRON[30057]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 17:17:01 Sitebook CRON[30057]: pam_unix(cron:session): session closed for user root
Jan  8 17:20:01 Sitebook CRON[30181]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 17:20:01 Sitebook CRON[30181]: pam_unix(cron:session): session closed for user smmsp
Jan  8 17:39:01 Sitebook CRON[30737]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 17:39:15 Sitebook CRON[30737]: pam_unix(cron:session): session closed for user root
Jan  8 17:40:01 Sitebook CRON[31053]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 17:40:01 Sitebook CRON[31053]: pam_unix(cron:session): session closed for user smmsp
Jan  8 18:00:01 Sitebook CRON[31836]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan  8 18:00:01 Sitebook CRON[31836]: pam_unix(cron:session): session closed for user smmsp
Jan  8 18:09:01 Sitebook CRON[32122]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 18:09:16 Sitebook CRON[32122]: pam_unix(cron:session): session closed for user root

Защищаюсь этим:
sysctl.conf:

Код: [Выделить]

net.ipv4.tcp_max_syn_backlog=20000
net.ipv4.tcp_synack_retries=1
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_keepalive_probes=5
net.ipv4.tcp_keepalive_intvl=15
net.core.netdev_max_backlog=20000
net.core.somaxconn=20000

rc.local

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j REJECT
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 500/s --limit-burst 1500 -j RETURN
iptables -A syn_flood -j DROP

koshev · « **Ответ #19 :** 09 Января 2014, 02:20:20 »

Как-то странно, защищаетесь Вы на 80-м порту, а лезут к Вам на 48576 и не только по TCP.
Политики цепочек в таблице какие? Из выжимки не видно.
Обновление прошивки помогло или нет?

Vexare · « **Ответ #20 :** 09 Января 2014, 12:48:46 »

Цитата: KT315 от 09 Января 2014, 02:20:20

Как-то странно, защищаетесь Вы на 80-м порту, а лезут к Вам на 48576 и не только по TCP.
Политики цепочек в таблице какие? Из выжимки не видно.
Обновление прошивки помогло или нет?

Обновление прошивки нет, как они могут лезть не порты, если они закрыты...
А может быть такое: Они кладут интернет на роутере, а до компов с защитой просто не доходит?
Может стоит попробовать на прямую запустить?

koshev · « **Ответ #21 :** 09 Января 2014, 16:05:35 »

Если целью атаки ( впрочем не очевидной ) ставиться отказ в обслуживании, то без разницы, открыт порт или закрыт.

Цитировать

ни кладут интернет на роутере, а до компов с защитой просто не доходит?

Если атака действительно имеет место быть, то именно это скорее всего и происходит.

Цитировать

Может стоит попробовать на прямую запустить?

Вы думаете стоит? Даже метод защиты, у LIR, т.н blackhole, который признан одним из эффетивных, не даёт гарантии.

Vexare · « **Ответ #22 :** 09 Января 2014, 18:27:08 »

Цитата: KT315 от 09 Января 2014, 16:05:35

Если целью атаки ( впрочем не очевидной ) ставиться отказ в обслуживании, то без разницы, открыт порт или закрыт.
Цитировать
ни кладут интернет на роутере, а до компов с защитой просто не доходит?
Если атака действительно имеет место быть, то именно это скорее всего и происходит.
Цитировать
Может стоит попробовать на прямую запустить?
Вы думаете стоит? Даже метод защиты, у LIR, т.н blackhole, который признан одним из эффетивных, не даёт гарантии.

это фаерволы LIR и blackhole ?

koshev · « **Ответ #23 :** 09 Января 2014, 18:34:22 »

LIR
blackhole
В общем на Вашем уровне защиты нет.

Vexare · « **Ответ #24 :** 09 Января 2014, 19:30:36 »

Цитата: KT315 от 09 Января 2014, 18:34:22

LIR
blackhole
В общем на Вашем уровне защиты нет.

Я имел введу сделать интернет на прямую, помудрить еще с защитой..
Мимо роутера.

Форум русскоязычного сообщества Ubuntu

Автор Тема: Глючит интернет (Прочитано 4559 раз)

bukass

Re: Глючит интернет

koshev

Re: Глючит интернет

bukass

Re: Глючит интернет

Vexare

Re: Глючит интернет

koshev

Re: Глючит интернет

Vexare

Re: Глючит интернет

koshev

Re: Глючит интернет

Vexare

Re: Глючит интернет

koshev

Re: Глючит интернет

Vexare

Re: Глючит интернет