msblast (мать его...)

[Октябрёнок]

После того, как одна винда его поймала и начала распространять, лёг маршрутизатор на базе довольно мощной машины. Связь прервалась, на пинги отвечаем с 99-ти процентами потерей пакетов. Вход по ССШ, естесственно, невозможен - отваливается по таймауту. Прихожу в серверную лично. На экране - коматоз. Начинаю из свича по очереди вытаскивать клиентов. Чудо случилось на шестом по очереди, маршрутизатор развис и стал работать нормально.

Как бороться с сией проблемой? Пока вижу только одну - разбить сетку на фрагменты поменьше. Если будет в каком проблема, лежать будет только он.

[ddc]

Для Октябрёнок:
На Linux MSBlast не оказывает эффект, так что можно смело ставить на сервер Linux и не мучиться...

P.S.: постинг в Linuxforum... Нда-а-а...

[Topper]

а поставить фаерволл не судьба? если уж на винде делать...

[Октябрёнок]

Для Октябрёнок:
На Linux MSBlast не оказывает эффект, так что можно смело ставить на сервер Linux и не мучиться...

P.S.: постинг в Linuxforum... Нда-а-а...

↑

Хорошо. Воспользуемся мясорубкой, дабы разжевать суть вопроса. Вопрос в том, как избавиться от полегания линукса вследствии жуткого трафика емсбласта!
Дропание пакетов результата не даст. Для того, чтобы пакет дропнуть, его нужно принять к рассмотрению и распознать!

Где знатоки-то?

[ddc]

Так надо же формулировать. Телепаты, как уже супомянул коллега в другой ветке, в отпуске...

Файервол не помагает? А заодно не плохо бы машинку с MSBlast вылечить...

[VN_MAClover]

Файервол не помагает? А заодно не плохо бы машинку с MSBlast вылечить...

↑

И поставить в неё соответствующий софт, не забывая обновлять его, чтобы в будущем такого не было.

[ddc]

Для VN_MAClover:
От вируса не уйти.
Впрочем, фильтрайция почты с помощью ClamAV на сервере, программное отключение медиаустройств в учётной записи пользователя и ограничение прав пользователя на машине с NT дают примерно такую же степень безопасности, что и резидентный антивирус.

[Alx]

msblast - полная ж...
Он начинает сканировать сеть, перебирая 2 младших байта ip-адреса и долбит arp-запросами в поисках очередной жертвы.
Так что искать пораженный комп, отключать от сети и лечить.

[VN_MAClover]

От вируса не уйти.

↑

С хорошим антивирусом-то? Почему?

[Октябрёнок]

Народ, хватит оффтопить! Проблемы винды меня не интересуют совершенно! Вопрос повторяю - что нужно сделать, и можно ли сделать, чтобы роутер на линухе не начинал коматозить от бешеного трафика?

Не нужно быть телепатом, чтобы понять вопрос в начале топика. Кто сталкивался - поймет. Кто не сталкивался - не поможет. "Телепатические" фразы сюда с ЛОРа перекочёвывают?

[ddc]

Забить на rpc.

[Октябрёнок]

Где же ваш конструктивизм, господа?
Суть вопроса-то проста - почему винда валит линукс?
И как от этого избавиться?
Тут, где-то краем уха слышал, что надо в ядре что-то подкручивать, но что?

[ddc]

Для Октябрёнок:
Надо просто валить rpc. И всё.

[Warderer]

Использовать активные сетевые IDS? Которые при определенной дэйтаграмме пакета будут его банально дропать?

[ddc]

Для Strangerrr:
Why not?

[Октябрёнок]

Повторяюсь. Дропать можно, только узнав, что ты дропаешь. А если машина занимается только дропанием настолько, что даже на пинги отвечать не успевает?

[Topper]

поставь на все виндовые машины фаерволлы и патчи. не лучше ли так будет?
а телепаты сюда пришли из, AFAIR, ФИДО.

[Warderer]

Для Topper:
Ты знал, ты знал!!! Мой адрес во время учебы был 2:5026/??? Не помню уже...
Для Октябрёнок:
Нормальная IDS тебе нормально скажет, кто поймал вирус. Вот и идешь к этому пользователю. Или служебку на него сразу.

[Октябрёнок]

Еще раз говорю - мои проблемы не в клиентах, которые не хотят лечить свои машины. Как полечить роутер на линуке. Вот какой базар развели, любим мы оффытопит, да?

зы: кто-то скажет - покупай каталисты.. я это прнимаю, карман -- нет

[hardj]

Попробуй правило которое дропает паразитные пакеты поставить самым первым. Уменьшит количество проходимых цепочек что в свою очередь ослабит нагрузку.

[Warderer]

Может просто при обнаружении атаки при помощи NetIDS гасить удаленную машину по RPC?

[hardj]

Может просто при обнаружении атаки при помощи NetIDS гасить удаленную машину по RPC?

↑

Прикольно будет сидит человек. И тут ни в чём небывало комп гасится

[Warderer]

Может просто при обнаружении атаки при помощи NetIDS гасить удаленную машину по RPC?

↑

Прикольно будет сидит человек. И тут ни в чём небывало комп гасится

↑

Зато все остальные работают как ни в чем не бывало. А так - сеть загнется.

[Октябрёнок]

Еще раз гогорю - машина с линухом занимается ТОЛЬКО дропанием пакетов от вирусованой винды, загруз проца и памяти - почти сто процентов. К виндовым машинам доступа не имею, могу просто отсгегнуть верёвку.

[Lustermaf]

Боюсь выход один - отключать заражённую машину за "создание паразитной нагрузки на сеть" или "создание условий, препятствующих нормальному функционированию обрудования оператора (провайдера)". Ну и предлагать недорогое лечение компа.
Вирусы будут всегда, т. к. большинство юзеров сами знаете кто....

[Kaster Troy]

Блин, я непонимаю логики.. у тебя в сети вирусяга ползает, а ты думаешь как сервак отгородить.. или Виндовый админ твое пиво выпил??
Простое решение поставить в сети какой-нить сумантек, обновить его и он на всех клиетах вынесет всю эту срань. который уже пол года, мильен-вагон патчей выпущено!!..

ЗЫ. забыл потом порулить в домене, всем патчи сунуть..

[hardj]

Полностью согласен. Так как по другому не получится. Либо удалить клиента из сети физически.
Если маршрутизатор ложится от пакетов и оптимизация правил не помогает то сделать тут ничего нельзя. Отключай физически и объясняй ситуацию.

[elide]

какая разница? просто конкретно в этот момент у тебя узкое место на этом компе с линуксом. если ты его поправишь, у тебя от нагрузки начнет клинить аппаратные маршрутизаторы. и что тогда будешь делать? от большой нагрузки системы тормозят. такова селява....

[hardj]

какая разница? просто конкретно в этот момент у тебя узкое место на этом компе с линуксом. если ты его поправишь, у тебя от нагрузки начнет клинить аппаратные маршрутизаторы. и что тогда будешь делать? от большой нагрузки системы тормозят. такова селява....

↑

Если ты это мне говорил то я имел ввиду отключать клиента заражённого вирусом от сети (вытаскивать провод). А не линуксовый маршрутизатор.

[elide]

каюсь, не указал адресата.
вообще-то я обращался к автору темы...