Постоянные сообщения Denial of service attack

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

Постоянные сообщения Denial of service attack

Сообщение KYI » 24 сен 2009, 12:23

Приятного времени суток господа!

Только сегодня наконец то ввели в эксплуотацию свою железку AR-750S
Вроде все хорошо, только постояно появляются сообщения
Код: Выделить всё
Warning (2077257): 24-Sep-2009 13:10:58
  Denial of service attack from 192.168.0.102 is underway.

Info (1077257): 24-Sep-2009 13:11:14
  Denial of service attack from 192.168.0.102 is finished.

Причем "атаковать" начинают свои пользователи
Этого не может быть, это факт

Подскажите, из-за чего могут эти сообщения появляться?
KYI
 
Сообщения: 152
Зарегистрирован: 17 апр 2009, 12:54

Сообщение Дмитрий Киселев » 24 сен 2009, 13:04

Куча всего может быть, в том числе вирусная активность или, скажем, работа клиентов файлообменных сетей. Сделай
sh fire sess ip=192.168.0.102
и будет видно, куда ломится эта машина.
Дмитрий Киселев
 
Сообщения: 320
Зарегистрирован: 30 ноя 2007, 14:15

Сообщение KYI » 24 сен 2009, 13:18

Дмитрий Киселев писал(а):Куча всего может быть, в том числе вирусная активность или, скажем, работа клиентов файлообменных сетей. Сделай
sh fire sess ip=192.168.0.102
и будет видно, куда ломится эта машина.

Посмотрел
вот что выдало
Код: Выделить всё
sh fire sess ip=192.168.0.81

Policy : guidmz
Current Sessions
-------------------------------------------------------------------------------
933f TCP      IP: 10.10.0.20:8080           Remote IP: 192.168.0.81:2916
          Gbl IP: 10.10.0.20:8080       Gbl Remote IP: 192.168.0.81:2916
     TCP state ............................ established
     Start time ........................... 14:12:20 24-Sep-2009
     Seconds to deletion .................. 3594
-------------------------------------------------------------------------------


Policy : guilan
Current Sessions
-------------------------------------------------------------------------------
8163 TCP      IP: 192.168.0.81:2916         Remote IP: 10.10.0.20:8080
          Gbl IP: 192.168.0.81:2916     Gbl Remote IP: 10.10.0.20:8080
     TCP state ............................ established
     Start time ........................... 14:12:20 24-Sep-2009
     Seconds to deletion .................. 3594
-------------------------------------------------------------------------------

Очень странно.
10.10.0.20:8080 это наша прокся которая стоит в DMZ
Человек просто открыл браузер и пошел по одному из сайтов
а тут сразу АТАКА :shock:
KYI
 
Сообщения: 152
Зарегистрирован: 17 апр 2009, 12:54

Сообщение Дмитрий Киселев » 24 сен 2009, 13:55

sh ip flow еще посмотри
Дмитрий Киселев
 
Сообщения: 320
Зарегистрирован: 30 ноя 2007, 14:15

Сообщение KYI » 02 окт 2009, 11:32

И всетаки не понятно почему так происходит :?
Раньше, где то читал что Telesys не очень дружно работает с проксей. Решил перечитать и проверить мой это случай или нет, но темы не нашел.
Господа, не подскажите при каких условиях Telesys не хочет дружно работать с проксей на Unix?
KYI
 
Сообщения: 152
Зарегистрирован: 17 апр 2009, 12:54

Сообщение Дмитрий Киселев » 02 окт 2009, 15:46

Если коротко, то Telesys не хочет дружно работать с проксей, если трафик от нее начинает попадать под критерии атак. При хорошо загруженной проксе ждать долго этого не придется.
Дмитрий Киселев
 
Сообщения: 320
Зарегистрирован: 30 ноя 2007, 14:15

Сообщение KYI » 02 окт 2009, 16:00

Дмитрий Киселев писал(а):Если коротко, то Telesys не хочет дружно работать с проксей, если трафик от нее начинает попадать под критерии атак. При хорошо загруженной проксе ждать долго этого не придется.

Можно ли вот это
Код: Выделить всё
Warning (2077257): 24-Sep-2009 13:10:58
  Denial of service attack from 192.168.0.102 is underway.

Info (1077257): 24-Sep-2009 13:11:14
  Denial of service attack from 192.168.0.102 is finished.

Отнести к моему случаю?
KYI
 
Сообщения: 152
Зарегистрирован: 17 апр 2009, 12:54

Сообщение Дмитрий Киселев » 02 окт 2009, 16:14

Если 192.168.0.102 - это прокся, то вполне можно.
Дмитрий Киселев
 
Сообщения: 320
Зарегистрирован: 30 ноя 2007, 14:15

Сообщение KYI » 02 окт 2009, 16:20

Дмитрий Киселев писал(а):Если 192.168.0.102 - это прокся, то вполне можно.

Не, это пользователь
и таких сообщений сыпется очень много, по 5-10 сообщений за минуту
Причем от разных пользователей
KYI
 
Сообщения: 152
Зарегистрирован: 17 апр 2009, 12:54

Сообщение Дмитрий Киселев » 02 окт 2009, 16:48

Рекомендую "понюхать" трафик этих пользователей, что-то тут нечисто.
Дмитрий Киселев
 
Сообщения: 320
Зарегистрирован: 30 ноя 2007, 14:15

Re: Постоянные сообщения Denial of service attack

Сообщение vitand » 29 ноя 2016, 18:05

Подскажите пожалуйста.
Ситуация такая: два офиса смотрят в интернет через AT-AR415S Router.
Между ними VPN. одна сеть 192.168.0.x другая 192.168.2.x
Постоянные атаки из второй сети возбуждают фаервол.
Можно как то сделать так, чтоб он не возбуждался на них?
vitand
 
Сообщения: 6
Зарегистрирован: 08 янв 2013, 14:11
Откуда: Moscow

Re: Постоянные сообщения Denial of service attack

Сообщение DenM » 29 ноя 2016, 22:29

KYI писал(а):Подскажите, из-за чего могут эти сообщения появляться?

Клиент часто генерит новые соединения. Что не удивительно для http.
Очень много проблем доставляют всякие google drive и т.п. Даже без SQUID'а.
Покрутите
Код: Выделить всё
set firewall poli=guidmz att=... outt=...

м.б. полегчает... Не предусмотрели разрабы отключения детектора ddos. :(
Последний раз редактировалось DenM 01 дек 2016, 08:00, всего редактировалось 6 раз(а).
DenM
 
Сообщения: 79
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: Постоянные сообщения Denial of service attack

Сообщение DenM » 29 ноя 2016, 23:00

vitand писал(а):Постоянные атаки из второй сети возбуждают фаервол.

Атаки из второй сети фаерволл первого рутера ?
DenM
 
Сообщения: 79
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: Постоянные сообщения Denial of service attack

Сообщение vitand » 30 ноя 2016, 12:26

DenM писал(а):
vitand писал(а):Постоянные атаки из второй сети возбуждают фаервол.

Атаки из второй сети фаерволл первого рутера ?

Да, именно так.
vitand
 
Сообщения: 6
Зарегистрирован: 08 янв 2013, 14:11
Откуда: Moscow

Re: Постоянные сообщения Denial of service attack

Сообщение DenM » 30 ноя 2016, 15:31

Конфиг этого рутера в студию.
DenM
 
Сообщения: 79
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

След.

Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8