> Ale co to ma do rzeczy? Nie piszę o tropieniu trojanów. (D)DoS-y są
> zazwyczaj prowokowane przez IRC, bo właśnie tam siedzą debile którzy
> się w to bawią i nikt im w tym specjalnie nie przeszkadza, a szkoda.
Wlasnie jest dokladnie tak jak piszesz - komp z naszej sieci ktory zlapal
trojana staje sie komputerem zombie sterowanym
poprzez irca, a wiec ma gdzies w tle proces ktory jest polaczony z jakims
irc-serwerem. Blokujesz takiego usera, i czekasz az zadzwoni
nastepnie pytasz czy siedzi na ircu (na takim a takim serwerze) - jezeli
nie, to kazesz viry pousuwac
> Dlatego najlepiej wyciąć dostęp do IRC jako takiego, jeśli nie jest
> absolutnie potrzebny.
Idac tym tokiem rozumowania, to wogole mozna wszystko wyciac - przez gg tez
virusy wchodza, puscic www przez squida i tyle :)
>> na podobne synfloody dobra tez byla latka connlimit z netfiltra:
>> iptables -t filter -I $LANCUCH -p tcp --syn -m
>> connlimit --connlimit-above
>> $1 -j REJECT
>> $1 = ~30-40
>> $LANCUCH = FORWARD
>
> Nie załamuj, przecież byle atak zapcha te 4 mbit i takie regułki można
> sobie wsadzić... w nos.
Mi to dziala...
Kiedys po wlaczeniu tego - nagle kilku ludziom przestal dzialac net...
Po odpaleniu netstat -na -> okazalo sie ze mieli po 1000 a nawet 5000
polaczen do netu, co powodowalo wzrost CPU na routerze i przepelnianie
conntracka
Dla mnie connlimit to podstawowa latka na kazdym linuxowym routerze.
Wlaczenie connlimit mozna napewno zaliczyc do lepszego rozwiazania niz
skladanie donosu na policje ze ktos DDOS'a robi...
Tym bardziej ze jezeli mowimy o DDOSach sterowanych przez IRC'a, to raczej
my robimy komus DDOS'a a nie odwrotnie.
Received on Mon Jun 5 12:25:10 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 05 Jun 2006 - 12:40:01 MET DST