|
Тема
|
NetIsSat: LAN security
|
|
Автор |
нaблюдaвaщ (просто гледа) |
Публикувано | 29.08.03 20:58 |
|
Имаме: Заплаха от , който първо PING-ва (ICMP), после атакува жертвата по порт 135.
Иска се да се защитят потребителите.
Търси се: какво е правилно да се направи?
В момента NetIsSat е спрял ICMP някъде след втория рутер (гледано от моята камбанария - обикновен потребител)
H:\>tracert dir.bg
Tracing route to dir.bg [194.145.63.12]
over a maximum of 30 hops:
1 20 ms 30 ms 20 ms gw3.cable.netissat.bg [213.130.88.1]
2 80 ms 20 ms 30 ms gw1.cable.netissat.bg [212.72.193.6]
3 * * * Request timed out.
4
същевременно PING-а между компюрите в INTRANETA си върви
Я като сте се събрали толкова системни администратори тука ми кажете не беше ли попросто и ефективно да се забранят само портове 135 (и останалите, които ползва червея) ? Защо са спряли и ICMP ?
| |
|
Защото проблема не е във вируса. Потребителите кучета ги яли. Ами той пингва случайни IP адреси и предизвиква:
1. Претоварване на тяхните router-и и CMTS (заради кеша и пълният lookup които трябва да правят)
2. Харчене на много капацитет
Между компютрите не могат да направят нищо, защото реално вие сте в един и същи LAN. Принципно има техники които могат да се приложат при Cisco CMTS (защото прави routing), но при други в общият случай не.
| |
|
H:\>ping -n 1 212.72.193.6
Pinging 212.72.193.6 with 32 bytes of data:
Reply from 212.72.193.6: bytes=32 time=191ms TTL=63
Ping statistics for 212.72.193.6:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 191ms, Maximum = 191ms, Average = 191ms
H:\>
И какво пречи в момента пак да им се претоварят рутерите (ако е рутер, не смея да ръчкам много) ? Виждаш, че ако червея тръгне да ги PING-ва нищо не му пречи.
| |
|
този паразит ЗАЛИВА локалната мрежа с пингове, претоварвайки дори и по-глупавите суичове. Представи си сега че почти всичко това тече към рутера - просто ще запуши връзката СЛЕД рутера. Преди него каузата е изгубена, така или иначе.
“Two of the most famous products of Berkeley are LSD and Unix.
Coincidence?”
| |
|
Преди него каузата е изгубена, така или иначе.
Всичко ми е ясно вече. Май просто някой трябваше да ми го каже по-простичко. Ясене, имаш едно черпене !
| |
|
|
|
|