1 votes

mtness avatar

Trafic constant depuis l'IP

Demandé el 29 de Mars, 2014
Quand la question a-t-elle été
943 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Je reçois un trafic constant depuis une IP. J'ai vérifié les journaux du serveur web et je n'ai rien trouvé. J'ai utilisé les tables IP pour fermer le port 80, sans succès.

Voici ce que j'ai extrait :

TCPDump après la fermeture du port 80 : ... 16:29:58.352491 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 2165011454, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.354140 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1721916742, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.437774 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 363447977, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.524299 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 137986954, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.610422 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1651557377, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.695648 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1644752218, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.762889 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 708774106, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.781295 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1366521335, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.821036 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1828494182, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.866077 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 858654160, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.957206 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 497033597, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:59.040977 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 698028417, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 ...

Comment puis-je en savoir plus sur ce qui se passe ?

Demandé el 29 de Mars, 2014 par mtness

Réponses

Trop de publicités?

0voto

Julio Fong avatar
Julio Fong Points 201 
iptables -t raw -A PREROUTING -p all -j ACCEPT ;
iptables -t raw -I PREROUTING -s iptoblock -p all -j DROP ;
iptables -I INPUT 1 -s iptoblock -p all -j DROP ;

remplacer iptoblock par l'adresse IP incriminée. Faites-moi savoir si ça marche !

Répondu el 29 de Mars, 2014 par Julio Fong (201 Points )

0voto

martin avatar
martin Points 49

Vous pouvez savoir si l'IP source est usurpée en autorisant l'envoi d'un SYN-ACK en réponse à quelques-uns des paquets SYN. Si le client répond au SYN-ACK par un paquet ACK valide, alors l'IP du client n'est pas usurpée.

Si l'IP du client est usurpée, vous ne pouvez pas faire grand-chose de plus.

Si l'IP du client est réelle, vous pourrez peut-être la ralentir en utilisant LaBrea ou des outils similaires.

Cependant, il n'y a aucune garantie que cela fonctionne, si l'expéditeur des paquets ignore toutes les réponses que vous renvoyez (ce qui serait typique pour un SYN flood), le mieux que vous puissiez faire est d'utiliser des SYN cookies pour vous assurer que votre service reste fonctionnel pour les utilisateurs légitimes.

Répondu el 29 de Mars, 2014 par martin (49 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X