Tráfego constante do IP

Question

Tráfego constante do IP

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Estou recebendo tráfego constante de um IP. Verifiquei os registros do servidor da web e não encontrei nada. Eu usei tabelas IP para fechar a porta 80 sem sucesso.

Aqui está o que eu extraí:

TCPDump após fechar a porta 80: ... 16:29:58.352491 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 2165011454, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.354140 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1721916742, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.437774 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 363447977, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.524299 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 137986954, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.610422 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1651557377, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.695648 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1644752218, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.762889 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 708774106, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.781295 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1366521335, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.821036 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1828494182, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.866077 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 858654160, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.957206 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 497033597, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:59.040977 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 698028417, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 ...

Como posso saber mais sobre o que está acontecendo?

networking

por T S 29.03.2014 / 17:32

2 respostas

Tags networking

“Erro de certificado não confiável” para eap-tls monitorando a fila do mailscanner com zabbix

score 0 · Answer 1

iptables -t raw -A PREROUTING -p all -j ACCEPT ;
iptables -t raw -I PREROUTING -s iptoblock -p all -j DROP ;
iptables -I INPUT 1 -s iptoblock -p all -j DROP ;

substitua iptoblock com o endereço IP ofensivo. Deixe-me saber se funciona!

score 0 · Answer 2

Você pode descobrir se o IP de origem está sendo falsificado, permitindo que um SYN-ACK seja enviado de volta em resposta a alguns dos pacotes SYN. Se o cliente responder ao SYN-ACK com um pacote ACK válido, o IP do cliente não será falsificado.

Se o IP do cliente for falsificado, não há muito mais que você possa fazer.

Se o IP do cliente for real, você poderá diminuir o ritmo usando LaBrea ou ferramentas semelhantes.

Não há garantia de que isso funcionará, se o remetente dos pacotes ignorar todas as respostas que você enviar de volta (o que seria típico para uma inundação SYN), o melhor que você pode fazer é usar cookies SYN para garantir que seu serviço permaneça funcional para usuários legítimos.