Определение источника Land DOS атаки

[pterodaktil]

Последние пару дней меня атакуют LandDOS атакой.

(Нажмите, чтобы показать/скрыть)

Mon Mar 16 10:22:41 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:22:45 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:22:45 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:23:42 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:23:44 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:23:48 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:00 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:01 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:01 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:02 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:03 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:04 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:06 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:07 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:07 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:09 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:25:13 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:26:22 2009  Associated:Blocked DoS Land Attack
Mon Mar 16 10:26:24 2009  Associated:Blocked DoS Land Attack

Маршрутизатор блокиерует атаку, но не показывает ip атакующего. Это немного нервирует. Саппаорт прова говорит что это все вирусы.
Но поиск по viruslist не дал вирей,  атакующих этим видом атак.
Как определить с какого IP меня атакуют?

[anonimus]

Вроде никак не определить IP. LAND атака (ICMP или TCP SYN-пакет, в котором порт IP и порт отправителя равны IP и порту получателя) приводит к зависанию сервера.
Сервак держишь?

[pterodaktil]

Вроде никак не определить IP. LAND атака (ICMP или TCP SYN-пакет, в котором порт IP и порт отправителя равны IP и порту получателя) приводит к зависанию сервера.

Это я знаю...

Сервак держишь?

Локалку.
Проблема в том, что определенные порты приходится держать открытыми (VPN, mail, web )

[anonimus]

А можно ли узнать, работает ли торрент-трекер и какой роутер

[pterodaktil]

А можно ли узнать, работает ли торрент-трекер и какой роутер

Нет. все файлообменники запрещены. Роутер ловящий атаку Dlink DI-808 (у меня 2 канала pptp сессию поднимает роутер, а распределение нагрузки организует pfsense).

[anonimus]

если работает торрент-клиент, то это может быть реакция хардварного файрволла на SYN-пакеты, которые появляются при работе клиента. по крайней мере так на D-link + uTorrent

[pterodaktil]

Аномалий по объему трафика не вижу... торенты бы дали  возросший объем трафика. Да и все порты кроме необходимых закрыты.
Да, разве торрент может работать без проброски портов на маршрутизаторе?

[Vovanys]

Да, разве торрент может работать без проброски портов на маршрутизаторе?

еще как может )

[pterodaktil]

еще как может )

Посмотел объемы скачанные пользователями... у всех в рамках - 20-40 мегов в день... С торрентами вряд-ли так шоколадно было
Да, обход считалки трафика я исключаю, т.к. мои данные  (сумма по всем пользователям) и данные провайера расходятся на где-то на мегабайт в сутки

[anonimus]

Completed SYN Stealth Scan at 17:18, 25.71s elapsed (1000 total ports)
пользовался программкой nmap. у товарища в логах такие же выводы.
кулцхакер наверное у вас в локалке завелся, пробивается
а может и вирус какой-нибудь

[pterodaktil]

Completed SYN Stealth Scan at 17:18, 25.71s elapsed (1000 total ports)
пользовался программкой nmap. у товарища в логах такие же выводы.
кулцхакер наверное у вас в локалке завелся, пробивается
а может и вирус какой-нибудь

Не в локалке... это с wan  иначе бы балансировщик нагрузки отметил активность.
Судя по всему надо заморачиваться с подъемом pptp на фряхе (в условиях корбины) чтобы отследить засрланца. Корбина категорически содействовать отказывается.  Да и в договоре написано что безопасность утопающео - дело рук его самого...