mozny utok na gw?

[hapi]

určitě

[hapi]

no i kdyby si někdo něco stahoval, neni možný vyvolat 1Gbit přenos jednim spojením na vzdálenost cca 14ms. Muselo by to bejt desítky spojení a navíc by to mělo i upload v podobě tcp a ne v icmp.

[mato1]

no, ono by asi bylo dobrý upozornit na to, že z daty která přicházejí se nedá nic dělat v tom smyslu že když už přijdou, tak prostě přijdou a nikdo je nezastaví. Zastavit se daji, tedy že se neroutnou dál přes forward nebo že nedojdou do inputu atd... přijatý data ethernetem jsou prostě přijatý a nic s nima nikdo neudělá. Na ethernetu budeš prostě mít RX 1000Mbit a můžeš si dělat dropy jak chceš.

u mna to bolo UDP a data boli len na jednej strane. RX bol "0" a TX bol v "desiatkach / stovkach mbit".

[midnight_man]

kua to su veci.....isto sa to nejak musi dat osetrit.

[mato1]

kua to su veci.....isto sa to nejak musi dat osetrit.

neda... aspon u mna to neslo. mal som pripady (a nie jeden), ze utok siel priamo od klienta. mal som na jednej casti malu lan siet, cisto 100 mbitove obycajne switche. zrazu od klienta zacal tiez UDP traffic v presnej hodnote 5 mbit (ani o chlp viac ci menej) a tiez s tym, ze TX bol 5 mbit a RX 0. ale ked to zacalo robit, tak to robilo aj niekolko hodin. a cuduj sa svete, dokazalo to dost rapidne zatazit celu 100 mbit lan siet - dokonca az tak, ze po celej lanke bol cca 5-10 percentny packet loss. a ako gw nebolo ziadne slabe RB, ale x86 4-jadrovy xenon, ktory sa viac menej flakal.
pomohlo az manualne vytiahnut kabel utocnika zo switcha

zabudol som dodat, ze sa mi to uz raz stalo aj na routovanej wifine. siet cisto routovana a tiez 5 mbit posielalo niekam von do sveta tym istym sposobom. pomohlo len priamo odpojit klienta - vymazat z access listu.

[tom-tom]

Možná to bude blbost, ale kdysi jsem řešil podobnou věc, už jsem byl v koncích, pozdě v noci, už jsem u toho usínal... no, ze zoufalství jsem místo dropu nastavil reject (icmp network unreachable), posadil se pohodlně do křesla a sledoval co to bude dělat. A usnul jsem.
No a ráno, hned po tom co jsem si trochu napravil bolavá záda, tak jsem zjistil že je to pryč (jako ten trafik, ústřel ne )

[radek1]

@losos
a což tu adresu 208.67.237.237 manglovat v preroutingu a pak teprv rozhodnodnout co s ní?
Určitě bych to ale dropoval i ve Forwardu, ne jen Input.

Jinak k tomu výpisu z FW, určitě si na začátek INPUT a FORWARD dej ty tři řádky "invalid-established-related", jinak ti bude každý spojený zbytečně projíždět celým firewallem.

Ten poslední řádek jsem nepochopil, nemělo by tam být INPUT?
add action=drop chain=forward disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist

[reset]

adres scaneru mam uz 1500 , ale tuhle adresu (208.67.237.237 ) tam nemam

na detekci pouzivam tohle,
http://wiki.mikrotik.com/wiki/Drop_port_scanners
nasledne zahazuju vse na INPUTu i ve FORWARDu

[thanui.linux]

Možná se ptám hloupě, ale není základem bezpečnosti vše zakázat a pak teprve přemýšlet co konkrétně povolit? A chci-li kontrolovat síť z dálky, pak za branu šoupnu nějaky střevo s MKčkem a na něm PPTP, OpenVPN apod.

[losos]

tak ako ktosi naznacil, vyzera ze 4otcenace urobili viac uzitku ako 4 drop pravidla. utoky zrazu prestali
podla podnetov dorobim firewall, diky

[tom-tom]

škoda, že ty otčenáše neumí ještě třeba aspoň 100% bursty na páteři

[radek1]

stačí se dobře pomodlit, polovina zákazníků umře a hned máš 100% burst

[midnight_man]

prave mi kolega pise...ze ma problem... 10.000 roznych IP utoci na cely jeho verejny rozsah..na vsetky zariadenia, routre....co v takom pripade??? ziadne pravidlo na IP nepomoze kedze kazda IP je ina...

//posledne zistenia smeruju k tomu, ze su to tisice klientskych PC...ktore s celeho sveta smeruju utoky....

[net.work]

V prvni rade se ho zeptej cim nasral Anonymous ;)

[midnight_man]

no asi nicim....