АРМАДА
http флуд
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

Xruman
Гуру
Зарегистрирован: 05.08.2008
Сообщений: 1208
Обратиться по нику
# Добавлено:Ср Окт 29, 2008 10:54 amДобавить в избранноеОтветить с цитатой
Всем привет. Создавал я как-то темку, потом удалил, вот теперь решил еще раз спросить. У меня такая проблема, пришло от провайдера письмо, уже не в первый раз, что с нашего ip адреса(в фирме где я работаю) происходит рассылка хттп флуда. Проверил все компы на вирусы, думал что справился с проблемой, а вчера опять пришло письмо от админов, с подпиской, что если не разберемся в чем проблема, то откл нах инет Evil or Very Mad Вот сижу репу чешу, что же придумать. На серваке пробую tcpdump - ом просмотреть, но пока ничего опасного не увидел. Было бы наверное правильней настроить прокси на серваке и повесить на него все нужные сетевые клиентские программы, но у меня стоит netams для учета трафа, и народ пишет что он вроде нестабильно счетает траф через прокси. Вообщем хелп, что еще придумать?

Xruman
Гуру
Зарегистрирован: 05.08.2008
Сообщений: 1208
Обратиться по нику
# Добавлено:Ср Окт 29, 2008 12:42 pmОтветить с цитатой
только я вот еще не пойму как они(провайдерские админы) могут определить что допустим прет спам по 80 порту? к примеру я качаю какую нить херню по http, какждую секунду отправляю и принимаю по несколько запросов, если качает несколько человек в сети то уже получается что запросов этих будет в несколько раз больше в секунду с 1 ip. Как админы могут определить где спам а где нет? какие-то хитрые заголовки пакетов? по дневному трафу у меня все ок, не каких превышений нет. Они говорят что колличество одновременных сессий подозрительно большое, нублин если 40 машин например, стоят атообновление антивирусов и пр. программ, ясин пень сессий дохера будет, а если еще и качают и серфят и т.п. Может наепывают меня ? Mad Логи не показывают, говорят что не сохраняют...

Dimitry Wolotko
Свой
Зарегистрирован: 29.10.2008
Сообщений: 17
Обратиться по нику
# Добавлено:Ср Окт 29, 2008 7:00 pmОтветить с цитатой
Логи они хранить должны, иначе как они в суде будут объяснять, почему вас отключили?
Блог Волотко Дмитрия

brush
V.I.P.
Зарегистрирован: 29.09.2005
Сообщений: 2566
Обратиться по нику
# Добавлено:Ср Окт 29, 2008 7:10 pmОтветить с цитатой
А ты пошли их в жопу и попроси описать "проблему" подробнее, и почему эта проблема - проблема.
Мне тут дома тырнет выключали.
Звоню:
- чозанах?
- а вы спам рассылаете! Проверяйтесь на вирусы!
Я, конечно, удивляюсь, но базы обновляю - ничего не нахожу.
Звоню и сообщаю о решении проблемы. Тырнет включают.
И только спустя сутки понимаю, что у меня 25 порт расшарен для торрентов. Провайдер видит гигабайты трафика с/на 25 порт и начинает думать, что у меня открытый рилэй .-)))
А 25 порт я стал использовать потому что этот же самый провайдер всякие "левые" порты позакрывал.

Xruman
Гуру
Зарегистрирован: 05.08.2008
Сообщений: 1208
Обратиться по нику
# Добавлено:Ср Окт 29, 2008 7:34 pmОтветить с цитатой
эх бля, отключили меня bums Поставил вечером на запись в файл tcpdump, пока инет работал, потом когда отключили стал разбираться, вроде нашел больной комп с которого беспрерывно посылались пакеты сразу на 3 разных ip, проверил его еще раз на вирусы, но ничего не нашел, попробую с утра завтра проверить несколькими другими антивирами... и ведь сука как закон подлости у генерального r5

Цитата:
Провайдер видит гигабайты трафика с/на 25 порт и начинает думать, что у меня открытый рилэй .-)))



дык еслиб гигабайты или еще что, тут за день получается по http всреднем вход/исход 400/50, тоесть это по сравнению с предыдущими месяцами/днями норма, мне просто интересно с чего они решили что флуд рассылается? по каким признакам?

[offtop]я знаю здесь сидят продвинутые админчики... не прячьтесь r5 [/offtop]

adamant
V.I.P.
Зарегистрирован: 20.03.2008
Сообщений: 11504
Обратиться по нику
# Добавлено:Ср Окт 29, 2008 8:14 pmОтветить с цитатой
выход в инет через свич+модем или сервер+модем?
если последнее то в чем проблема запретить в фаеровле лубую активность к даным айпи, еще вариант поснифай передачу, посмотри что конкретно передаеться, возможно увидешь бота если оный там сидит. поройся в проwесах, левых службах(думаю если пароль к компу генерального знаешь(тыже там админ или кто?) то зайди удалено через RDC что б он не думал что ты хреновый админ и пропустил ему заразу). решения есть но надо пробывать а антивирям я в последнее время вообще не доверяю(кроме того что они там что то сканируют загружая проц работой пользы от них не ощутил никакой). в др.веба скачай куреит и проскань систему, если зараза примитивна то он ее найдет с вероятностью 95%.
если не поможет стучи в аську/личку Wink
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: [email protected] и ICQ: 750000
Unlimited on 1Gbs port |

brush
V.I.P.
Зарегистрирован: 29.09.2005
Сообщений: 2566
Обратиться по нику
# Добавлено:Чт Окт 30, 2008 1:56 amОтветить с цитатой
Gidz писал(а):
эх бля, отключили меня

Зря ты это воспринимаешь как должное. Считаю, имеешь полное право потребовать у провайдера объяснений: что за хуйня "хттп-флуд"? Объясните по-русски: что не понравилось. Когда, на какой адрес, что ушло и с какого хрена провайдер решил что этому нельзя туда ходить.

Mr Frod +
Гуру
Зарегистрирован: 06.03.2007
Сообщений: 1247
Обратиться по нику
# Добавлено:Чт Окт 30, 2008 5:16 amОтветить с цитатой
Согласен с brush, это не твоя проблема. Пусть спеца пришлют с "супер-антивирем", если установленные антивирусники не справляются. Но дело даже не в этом. Пусть доказательства предъявят, иначе на каком основании отключили.

Мне раньше какие то пакеты подозрительные шли с диапазана провайдера и прочая дрянь, так я их ..., а не они меня.
Загружаешь ролики на ютуб? $700 в сутки не предел http://goo.gl/rLhWe2

Nevermore +
Опытный
Зарегистрирован: 08.07.2008
Сообщений: 326
Обратиться по нику
# Добавлено:Чт Окт 30, 2008 5:35 amОтветить с цитатой
как-то маловато 3 ip... Обычно уже если флуд, то флуд - на сотни ip. r5
Я обычно использую для детектирования сначала avz, потом CureIt, потом копаюсь ручками на предмет измененных по дате файлов, потом уже могут идти в ход специфичные софтины типа SuperAntispyware, SpyBot S&D и т.д.
Правда, один раз залез довольно хитрый троян, которого не брали вышеперечисленные софтины... Справился каспер. Shocked Изначально стоял McAfee.
PS: почему у меня репа в ноль упала? r5

Xruman
Гуру
Зарегистрирован: 05.08.2008
Сообщений: 1208
Обратиться по нику
# Добавлено:Чт Окт 30, 2008 3:36 pmОтветить с цитатой
Буду звонить сейчас разбираться... Evil or Very Mad а написали та как:

Интенсивность DoS-атаки возросла, доступ в сеть Интернет для клиента
полностью блокируется.

какая в задницу дос атака r5

Xruman
Гуру
Зарегистрирован: 05.08.2008
Сообщений: 1208
Обратиться по нику
# Добавлено:Чт Окт 30, 2008 4:31 pmОтветить с цитатой
adamant писал(а):
(тыже там админ или кто?)



для меня админ это бородатый дядька, способный силой мысли и различными голосовыми командами выполнять роль маршрутизатора и управлять эвм на расстоянии ака бородатый вайфай r5 А я лишь неопытный эникейщик....

короче инет мне включили, ругаться с ними не хочу пока, буду смотреть как дальше пойдет, всем спасибо!
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры