classic.ISPforum.cz

Napsal: **27 Mar 2006 10:52**

Lidicky, jiz nejakou dobu se potykam s problemem. Jak z venku tak zevnitr mi nekdo zahlcuje sit nesmyslnymi pozadavky a pingbombery. Za jeden den registruji az 150MB na ICMP a podobne. Nevite jak ucinne tento problem resit? Dik za kazdy poznatek.

Napsal: **27 Mar 2006 12:29**

spiner_27 píše:Lidicky, jiz nejakou dobu se potykam s problemem. Jak z venku tak zevnitr mi nekdo zahlcuje sit nesmyslnymi pozadavky a pingbombery. Za jeden den registruji az 150MB na ICMP a podobne. Nevite jak ucinne tento problem resit? Dik za kazdy poznatek.

skus bloknut icmp odpovede z tvojho MK

Napsal: **27 Mar 2006 12:38**

v prvom rade by som pozrel kto ta to fluduje. z vnutra to nebude az taky problem zistit kto a dohovit mu.. pipadne upravit podla toho firewall

z vonka takisto. ak sa ti utoky opakuju, nepredpokladam, ze to budu nahodne utoky z nahodnych ip.. takisto uprava firewallu a problem by mal byt vyrieseny. samozrejme pakety ,ktore uz prisli k tebe, s tymi neurobis nic. jedine v spolupraci s tvojim providerom.

Napsal: **28 Mar 2006 11:58**

gooseSK píše:v prvom rade by som pozrel kto ta to fluduje. z vnutra to nebude az taky problem zistit kto a dohovit mu.. pipadne upravit podla toho firewall

z vonka takisto. ak sa ti utoky opakuju, nepredpokladam, ze to budu nahodne utoky z nahodnych ip.. takisto uprava firewallu a problem by mal byt vyrieseny. samozrejme pakety ,ktore uz prisli k tebe, s tymi neurobis nic. jedine v spolupraci s tvojim providerom.

No jo, jenomze nemuzu zakazat icmp

Kdyz delam servis, nebo nekoho pripojuju, prvni co udelam, nez pustim u nej "explorer" je, ze pustim ping a testnu jak to slape. Povoleni icmp z urcite IP tuto vec neresi (bych musel prepojovat na notebook nebo menit IP v jeho PC). Spis bych bral nejaky filtr, ktery by zahazoval icmp dotazy v mnozstvi nad 5/sec. Jinak mi icmp nevadi, ale pokud router nekdo nabombi 300pingama za vterinu tak muzu upgradovat masinu, kupovat sitovky intel a stejne s tim nic neudelam

Zakazat ICMP je jednoduche, ale jak nastavit MK tak, aby rozpoznal flooding... To same problem s torrentem, 200spojeni na 1IP... Diky za ochotu.

Napsal: **28 Mar 2006 16:58**

Nevím, ještě jsem to neřešil, ale co třeba nějaká variace tohoto:

Kód: Vybrat vše

add chain=other-services protocol=icmp icmp-options=8:0-255 action=mark-connection new-connection-mark=ping passthrough=no

Kód: Vybrat vše

add chain=input connection-mark=ping limit=5,5 action=accept comment="Alllow pings, but at a very limited rate \(5 per sec\)"

Asi by to šlo i v rámci jednoho pravidla (resp. zcela jistě to půjde), detaily viz:

http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling

To je poměrně zajímavé (by imho nikoli zcela přehledné) čtení.

Napsal: **28 Mar 2006 23:03**

taky jsem neco resil a udelal jsem pravidlo, kter filtruje ICMP vetsi nez 70 bajtu, mensi jsou testy, ktere potrebuji, vsechno vetsi jsem dropnul :lol:

Napsal: **29 Mar 2006 09:41**

spiner_27: ale ja som nemyslel zakazat icmp kompletne.. ale ako si pisal ,tak ta niekto flooduje aj z vnutra.. to nieje problem zistit kto to je a zakazat ho.

co sa tyka floodovania z vonka,tak urcite to nieje stale ina IP adresa. utocnik co ta chce nasrat ma bud stale tu istu ,alebo meni len urcity pocet IP adries.. staci zakazat tie

Napsal: **31 Mar 2006 19:09**

Vytvoril bych dynamicku skupinu, kam by spadl clovek nad x icmp/s a te drop...

classic.ISPforum.cz

DoS utoky, jak na ne?

DoS utoky, jak na ne?

Re: DoS utoky, jak na ne?