форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"флуд с localhost:80"
Сообщение от gara on 03-Ноя-03, 18:00  (MSK)
люди как прибить флуд который идет от чела? шлет пакеты с обратным адресом localhost:80 никакие правила ipfw deny непомогают... хелп что делать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "флуд с localhost:80"
Сообщение от lubeg on 04-Ноя-03, 06:49  (MSK)
>люди как прибить флуд который идет от чела? >шлет пакеты с обратным адресом localhost:80 >никакие правила ipfw deny непомогают... >хелп что делать? если он в твоей локалке, то запретить по маку можно, только работать до тех пор пока мак не поменяет :) а в принципе, даже в правилах по умолчанию всегда добавляется в начало запрет loopback'a: ${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 200 deny all from any to 127.0.0.0/8 ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "флуд с localhost:80"
	Сообщение от gara on 04-Ноя-03, 11:23  (MSK)
	>>никакие правила ipfw deny непомогают... >${fwcmd} add 100 pass all from any to any via lo0 >${fwcmd} add 200 deny all from any to 127.0.0.0/8 >${fwcmd} add 300 deny ip from 127.0.0.0/8 to any так непомогает яж говорю... я с ipfw корячился по разному всеравно вот такое Г идет. 11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0 11:21:25.309518 localhost.http > 192.168.124.105.1673: R 0:0(0) ack 1855586305 win 0 11:21:25.329505 localhost.http > 192.168.189.105.robcad-lm: R 0:0(0) ack 342687745 win 0 11:21:25.349662 localhost.http > 192.168.254.232.1344: R 0:0(0) ack 977338369 win 0 11:21:25.369456 localhost.http > 192.168.65.104.1180: R 0:0(0) ack 1611923457 win 0 11:21:25.389510 localhost.http > 192.168.130.104.1015: R 0:0(0) ack 99090433 win 0 11:21:25.409678 localhost.http > 192.168.195.231.1851: R 0:0(0) ack 733675521 win 0 11:21:25.429723 localhost.http > 192.168.6.231.1686: R 0:0(0) ack 1368326145 win 0 11:21:25.449598 localhost.http > 192.168.71.104.ncube-lm: R 0:0(0) ack 2002911233 win 0 11:21:25.469620 localhost.http > 192.168.136.104.pegboard: R 0:0(0) ack 490078209 win 0 11:21:25.490370 localhost.http > 192.168.201.231.1192: R 0:0(0) ack 1124663297 win 0 11:21:25.509850 localhost.http > 192.168.12.103.1028: R 0:0(0) ack 1759313921 win 0 11:21:25.529734 localhost.http > 192.168.77.103.1631: R 0:0(0) ack 246415361 win 0 11:21:25.550092 localhost.http > 192.168.142.230.csdmbase: R 0:0(0) ack 881065985 win 0 11:21:25.569899 localhost.http > 192.168.208.230.1302: R 0:0(0) ack 1515651073 win 0 11:21:25.589850 localhost.http > 192.168.18.102.1137: R 0:0(0) ack 2752513 win 0 11:21:25.609996 localhost.http > 192.168.83.103.1973: R 0:0(0) ack 637403137 win 0 11:21:25.629895 localhost.http > 192.168.149.230.1808: R 0:0(0) ack 1271988225 win 0 11:21:25.649937 localhost.http > 192.168.214.230.1644: R 0:0(0) ack 1906638849 win 0 11:21:25.669957 localhost.http > 192.168.24.102.dberegister: R 0:0(0) ack 393740289 win А ipfw хотьбы что 00005         0            0 allow ip from any to any via lo0 00006         0            0 deny ip from any to 127.0.0.0/8 00007         0            0 deny ip from 127.0.0.0/8 to any 1 и второе правило  count_ы потом до 4 пусто.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "флуд с localhost:80"
	Сообщение от lubeg on 04-Ноя-03, 13:08  (MSK)
	>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0 nslookup localhost? netstat -rn? tcpdump -n?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "флуд с localhost:80"
	Сообщение от gara on 04-Ноя-03, 14:19  (MSK)
	> >>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0 > >nslookup localhost? >netstat -rn? >tcpdump -n? localhost = 127.0.0.1 тут какаято другая хитрость...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "флуд с localhost:80"
	Сообщение от A6PAMOB on 04-Ноя-03, 14:26  (MSK)
	Может не по теме разговора, но ping www.instituto.com.br
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "флуд с localhost:80"
	Сообщение от bass on 05-Ноя-03, 10:13  (MSK)
	>> >>>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0 >> >>nslookup localhost? >>netstat -rn? >>tcpdump -n? > > >localhost = 127.0.0.1 >тут какаято другая хитрость... ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK а поглядите-ка tcpdump -e вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "флуд с localhost:80"
	Сообщение от gara on 05-Ноя-03, 20:54  (MSK)
	>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK >а поглядите-ка tcpdump -e >вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он.. По маку поймали чела. у него был вирус. я просто отом чтоб в будущем избежать подобного - хотел чемто прикрыться, например файрволом. Но файрволом неполучается...:(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "флуд с localhost:80"
	Сообщение от dennis kreminsky on 03-Дек-03, 16:49  (MSK)
	>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK >>а поглядите-ка tcpdump -e >>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он.. >По маку поймали чела. у него был вирус. я просто отом чтоб >в будущем избежать подобного - хотел чемто прикрыться, например файрволом. >Но файрволом неполучается...:( В локальной сети файрвол, разумеется, не сможет уничтожать фреймы, для который не является мостом или маршрутизатором. А в сети можно просить оператора аплинка дискардить пакеты, не содержащие в себе ваших адресов. В принципе, практика обычная, хотя при злоупотреблении делает невозможным использование в вашем сегменте асимметричной маршрутизации.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "флуд с localhost:80"
	Сообщение от gara on 06-Дек-03, 00:52  (MSK)
	>>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK >>>а поглядите-ка tcpdump -e >>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он.. >>По маку поймали чела. у него был вирус. я просто отом чтоб >>в будущем избежать подобного - хотел чемто прикрыться, например файрволом. >>Но файрволом неполучается...:( > >В локальной сети файрвол, разумеется, не сможет уничтожать фреймы, для который не >является мостом или маршрутизатором. Какую вы ерунду говорите.... если комп не является ни мостом ни маррутизатором как через него пойдет трафик и как он будет файрволить??? >А в сети можно просить оператора аплинка дискардить пакеты, не Я сам себе аплинл... это происхдотив внутри моей сети очень далеко от аплинка... ... какбудто другую тему писал а ответ случаяно сюда запостили :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "флуд с localhost:80"
	Сообщение от magr on 05-Дек-03, 17:49  (MSK)
	>Но файрволом неполучается...:( Да можно файрволлом, если трафик черз него проходит. Сложно что-то сказать, нужен если не весь вывод правил (ipfw sh), то хотя бы фрагмент до уже приведенных строчек 005 - 007
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "флуд с localhost:80"
	Сообщение от gara on 06-Дек-03, 00:49  (MSK)
	>>Но файрволом неполучается...:( >Да можно файрволлом, если трафик черз него проходит. Сложно что-то сказать, нужен >если не весь вывод правил (ipfw sh), то хотя бы фрагмент >до уже приведенных строчек 005 - 007 До приведенных строчек стоит только count
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "флуд с localhost:80"
	Сообщение от Аноним on 28-Дек-03, 13:00  (MSK)
	>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK >>а поглядите-ка tcpdump -e >>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он.. >По маку поймали чела. у него был вирус. Как вирус назывался? Чем удалили?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "флуд с localhost:80"
	Сообщение от temny on 06-Дек-03, 21:19  (MSK)
	>>>никакие правила ipfw deny непомогают... > >>${fwcmd} add 100 pass all from any to any via lo0 >>${fwcmd} add 200 deny all from any to 127.0.0.0/8 >>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any > Попробуй ${fwcmd} add 400 deny ip from any to any src-ip 127.0.0.1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "флуд с localhost:80"
	Сообщение от artist on 08-Дек-03, 00:18  (MSK)
	помогает просто tcpdump снимает трафик _до_ ipfw
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "флуд с localhost:80"
	Сообщение от gara on 08-Дек-03, 00:24  (MSK)
	>помогает > >просто tcpdump снимает трафик _до_ ipfw ага... я проверю. нопомоему счетчик заблокированных пакетов в правилах ipfw deny неувеличивался... проверю и сообщу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "флуд с localhost:80"
Сообщение от Юрий on 28-Дек-03, 02:21  (MSK)
А как сам порождающий троян называется? Пожет по названию вируса найти решения у разработчиков антивирусного ПО? deny 127.0.0.1 у меня тоже не решает суть проблеммы.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "флуд с localhost:80"
	Сообщение от artist on 28-Дек-03, 15:20  (MSK)
	msblast, или вейча, не помню как называется точно 8)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "флуд с localhost:80"
	Сообщение от gabber88 on 29-Дек-03, 16:25  (MSK)
	>msblast, или вейча, не помню как называется точно 8) это конечно гуд но лечить фсех в сети это не выход как бы это фсе прекраться бы намертво чтобы оно недобилось!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "флуд с localhost:80"
	Сообщение от Dima on 30-Дек-03, 20:00  (MSK)
	После Этого идет пакеты с реальным адресом и правила ip маршрутизации уже не помагают он может использовать любай адрес который юже узнал Ясно что вирус уходят с WIN машин
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "флуд с localhost:80"
	Сообщение от boss1575 on 30-Дек-03, 23:59  (MSK)
	>А как сам порождающий троян называется? Пожет по названию вируса найти решения >у разработчиков антивирусного ПО? > >deny 127.0.0.1 у меня тоже не решает суть проблеммы. Блин, объясняю, вирус называется MSlaught это клон MSBlast, лечится от него можно так: В диспетчере задач прибить MSLaught.exe далее из директории windows\system32 убить MSLaught.exe и поставить патчи от Microsoft против взлома RPC а точнее 135 порт. А еще лучше ставить у всех пользователей этот патч и на роутерах запрещать какую либо маршрутизацию 135 порта, что бы он не успевал так быстро распространяться.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.