Supuesto Ataque

Imagen de falcom

Forums: 

Saludos, checando mi conexion a inet pues he descubierto varias ips como x ejemplo esta:
78.108.178.39==> network.upl.cz
las cuales consumen ancho de banda de bajada a nivel de TCP.
dispongo de un proxy con Nat la eth1 con ip publica y la eth0 para la red interna, con un buen firewall no han entrado a mi red interna pero el consumo esporadico de ancho de banda de mi enlace pues hace todo mas lento.
Utilizo jnettop + iptraf + wireshark + iftop, para monitorear en vivo el trafico, esto montado en en centos 5.1 con squid+iptables, todas las conexiones atacantes se realizan por la interfaz eth1, la pregunta del millon como bloquear estos ataques, que regla mas le puedo poner a mi script de firewall.

Buscando en san g00gle veo q esa ip (78.108.178.39) esta marcada como web atacante malditos hackers...
Gracias x su ayuda.
PD:En mi script luego de aceptar conexiones entrantes y demas pongo

iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP

para cerrar todo acceso indebido, sera q tambien cierro el acceso a la eth1

Por más reglas que pongas,

Imagen de acl

Por más reglas que pongas, los paquetes ya pasaron por tu enlace. Para cuando tu tienes el paquete ya es demasiado tarde y la capacidad de tu enlace ya fue consumida. Tu ISP tiene que filtrar las redes de donde te vienen esos picos de tráfico y tú tienes que decirles. Documenta y haz el pedido.

--
haber != a ver
ha != a

Umm entonces supuestamente

Imagen de falcom

Umm entonces supuestamente se les colan a la red de mi ISP, el lio es q son varias y diferentes entonces eso de notificar esta dificil, tu sabes q los atacantes utilizan varias ips y diferentes tecnicas de ataque! deberia haber otra solucion ?
Lo bueno es q solo llegan a mi eth1 y no entran a mi red, pero igual estan robando ancho de banda
********
Salu2 and Have Fun

falcom wrote: deberia haber

Imagen de acl

[quote=falcom]deberia haber otra solucion ?
[/quote]

Conceptualmente, necesitarías decidir si quieres o no el paquete antes de que cruce el enlace entre el ISP y tú. Esto implica que necesitas acceso al paquete antes de que éste te llegue, lo cual es imposible. Solo alguien que tenga el paquete puede decidir si lo quiere o no.

Bienvenido a la Internet: no tienes voz ni voto acerca de lo que te llega. Si te hacen un DDoS, no te queda más que acudir a tu ISP (para eso se les paga).

--
haber != a ver
ha != a

Aca esta el meollo del

Imagen de falcom

Aca esta el meollo del asunto:
[quote]
the evil bit MUST be set by default on packets
emanating from programs running at such levels. However, the system
MAY provide an API to allow it to be cleared for non-malicious
activity by users who normally engage in attack behavior.
[/quote]

no se si ya lo arreglarian en el nuevo IPV6
********
Salu2 and Have Fun