Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 

Реклама на форуме

 
> Ваша реклама, здесь
 
 
 

Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> Эпидемия в сети
Пэтро |
Дата 19 Ноября, 2005, 2:01
Quote Post



Unregistered









Я не знаю с чем это связано. Но в ночь между 18 и 19 произошли какие-то непонятные процессы.

Мой файрволл чуть не подавился запросами Netbios.

С адресов:

217.117.37.147
217.117.42.150

и особенно

217.117.75.211
217.117.75.116
217.117.75.103

например:
23:53:10 NETBIOS TCP 217.117.75.103 1477 Запретить NetBIOS соединения
23:53:09 NETBIOS TCP 217.117.75.103 1300 Запретить NetBIOS соединения
23:53:09 NETBIOS TCP 217.117.75.103 1254 Запретить NetBIOS соединения
23:53:05 NETBIOS TCP 217.117.75.103 4301 Запретить NetBIOS соединения
23:53:03 NETBIOS TCP 217.117.75.103 4417 Запретить NetBIOS соединения
23:52:42 NETBIOS TCP 217.117.75.103 2247 Запретить NetBIOS соединения
23:52:27 NETBIOS TCP 217.117.75.103 4093 Запретить NetBIOS соединения
23:52:24 NETBIOS TCP 217.117.75.103 3653 Запретить NetBIOS соединения
23:52:21 NETBIOS TCP 217.117.75.103 3647 Запретить NetBIOS соединения
23:52:21 NETBIOS TCP 217.117.75.103 3626 Запретить NetBIOS соединения
23:52:15 NETBIOS TCP 217.117.75.103 3204 Запретить NetBIOS соединения
23:52:12 NETBIOS TCP 217.117.75.103 2821 Запретить NetBIOS соединения
23:52:09 NETBIOS TCP 217.117.75.103 2178 Запретить NetBIOS соединения
23:51:52 NETBIOS TCP 217.117.75.103 4439 Запретить NetBIOS соединения
23:51:43 NETBIOS TCP 217.117.75.103 3545 Запретить NetBIOS соединения

Я не знаю с чем это связано и как с этим бороться.
Если бы банальное сканирование портов. Ан нет целенаправленно к моей машине цепляются.
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon
















_________________
Желающим разместить рекламу смотреть сюдой
/   
Funky |
Дата 19 Ноября, 2005, 14:19
Quote Post



Unregistered









Несмотря на такой чудесный выходной , уже занимаемся вашей проблемой smile.gif
Зы : Нетбиос пакеты летать не должны так как у вас отдельный бродкаст домен (подсеть из 4 адресов). Таким образом
Цитата
Ан нет целенаправленно к моей машине цепляются.

я думаю что вы правы smile.gif
Так что будем читать логи smile.gif
Funky |
Дата 19 Ноября, 2005, 16:21
Quote Post



Unregistered









Цитата
и особенно

217.117.75.211

А вот это особенно интересно :\
Петро это бродкаст адресс вашей подсети.....
Пэтро |
Дата 19 Ноября, 2005, 16:32
Quote Post



Unregistered









Цитата
Петро это бродкаст адресс вашей подсети.....


Ну наверно. Ну так изза чего это происходит. Вобщем 217.117.75.211 не так страшен. Вот 217.117.75.103 подключался очень основательно. Причем в полпервого все закончилось. И потом шло как всегда по 1 подключению в минут 10.
Funky |
Дата 19 Ноября, 2005, 22:17
Quote Post



Unregistered









Цитата
Ну наверно. Ну так изза чего это происходит. Вобщем 217.117.75.211 не так страшен. Вот 217.117.75.103 подключался очень основательно. Причем в полпервого все закончилось. И потом шло как всегда по 1 подключению в минут 10.


Пэтро
Если вы еще не поняли - речь идет о спуфинге (подмене исходящего адресса)...... Айпи адреса указанные выше (из наших подсетей) никому в тот момент не выдавались.
Пэтро |
Дата 19 Ноября, 2005, 22:25
Quote Post



Unregistered









Буду знать. И еще 2 вопроса:

1. Для чего служит "бродкаст домен (подсеть из 4 адресов)"?

2. У меня на сетевом адаптере, что подключен к модему, "Сеть микрософт" и "Общий доступ к папкам" выключены. Почему тогда к нему цепляются NEtbios пакеты. Я так предпологал если галочка убрана то порты Netbios закрыты и конектится не к чему. Ан нет пакет идет, но Файрволл его закрывает.
ms.Parker |
Дата 19 Ноября, 2005, 23:04
Quote Post



Unregistered









Цитата
1. Для чего служит "бродкаст домен (подсеть из 4 адресов)"?



Широковеща́тельный доме́н (англ. Broadcast domain) логический участок компьютерной сети, в котором каждое устройство может передавать данные непосредственно любому другому устройству используя широковещательный адрес второго, канального уровня модели OSI.

В широком понимании смысла, широковещательный домен участок сети, где устройства могут общаться напрямую, не обязательно используя широковещательный адрес канального уровня. Единственное условие отсутствие необходимости передавать данные через промежуточное машрутизирующее устройство.

Устройства, ограничивающие широковещательный домен маршрутизаторы, работающие на третьем, сетевом уровне модели OSI. Устройства первого и второго уровня концентраторы, повторители, коммутаторы широковещательный домен не ограничивают.
---------------------------Материал из Википедии свободной энциклопедии

На каждого нашего ADSL абонента мы тратим 4ре реальных (белых) айпи адреса. А именно Адресс подсети, адрес абонента, Адрес шлюза и бродкаст. Тем самым до минимум уменьшая кол-во широковещательного трафика.
Цитата
2. У меня на сетевом адаптере, что подключен к модему, "Сеть микрософт" и "Общий доступ к папкам" выключены. Почему тогда к нему цепляются NEtbios пакеты. Я так предпологал если галочка убрана то порты Netbios закрыты и конектится не к чему. Ан нет пакет идет, но Файрволл его закрывает.

Я не знаю точно как именно у вас работает файрволл....Скорее он переводит сетевую карту в неразборчивый режим (promiscous mode), поэтому и видит эти пакеты. Могу сказать то, что нетбиос порты у вас закрыты.
PS : но MSRPC на внешнем интерфейсе я все же бы закрыл.


Добавлено в [mergetime]1132427160[/mergetime]
Ой..... g.gif
Простите, поумничала... не хотела светиться, да вот.... лажа вышла smile.gif
Ладно, колюсь, другой модер постил (Koios), перелогиниться забыли... lol.gif lol.gif lol.gif
Пэтро |
Дата 19 Ноября, 2005, 23:55
Quote Post



Unregistered









Цитата
PS : но MSRPC на внешнем интерфейсе я все же бы закрыл.

Пофиксил. Проверил онлайн сканерами Symantec и PCFlank. Вроде все впорядке.

Кстати ваше сканирование файрволл заметил и сообщил. biggrin.gif

Код

20:42:32 217.117.75.хх TCP (113)
20:42:32 217.117.75.хх TCP (22)
20:42:32 217.117.75.хх TCP (3389)
20:42:32 217.117.75.хх TCP (23)
20:42:32 217.117.75.хх TCP (389)
20:42:32 217.117.75.хх TCP (1723)


Цитата
Простите, поумничала... не хотела светиться, да вот.... лажа вышла

Ну я догадался. например "я все же бы закрыл."

А вообще часто вижу сканирование портов 445 139.
Например сегодня
Код

21:01:57 217.210.241.225 TCP (445)
20:59:05 217.117.37.147 TCP (445)
20:57:12 217.117.38.61 TCP (445)
20:52:21 217.117.37.147 TCP (445)
20:52:21 217.117.37.147 TCP (445)
20:52:21 217.117.37.147 TCP (445)
20:52:21 217.117.37.147 TCP (445)


Вы с этими моментами как-то боретесь?
Funky |
Дата 20 Ноября, 2005, 20:25
Quote Post



Unregistered









Цитата
Вы с этими моментами как-то боретесь?

Нет и не планируем lol.gif
Хотите реальные айпи - сами и отдувайтесь biggrin.gif
Пэтро |
Дата 20 Ноября, 2005, 20:29
Quote Post



Unregistered









Koios
Не спорю.

Просто сидит у абонента вирь, "работает" в сеть. Получается траффик жрет. А он вам будет мозги компостировать, что столько насидеть он не мог.
1/   
SlavaD | Профиль
Дата 21 Ноября, 2005, 0:42
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 21
Вне форума



ms.Parker
Цитата
На каждого нашего ADSL абонента мы тратим 4ре реальных (белых) айпи адреса. А именно Адресс подсети, адрес абонента, Адрес шлюза и бродкаст. Тем самым до минимум уменьшая кол-во широковещательного трафика.

А не проще выдавать 1 реальный IP по VPN, и не терять 3 адреса (сеть, броадкаст, шлюз) ?
PMEmail Poster
Funky |
Дата 21 Ноября, 2005, 10:16
Quote Post



Unregistered









Цитата
А не проще выдавать 1 реальный IP по VPN, и не терять 3 адреса (сеть, броадкаст, шлюз) ?

SlavaD
Вы правы, "4 ре на одного" - это конечно расточительно. Но тут еще вступает в силу особенности "железок" + особенности Биллинга. В будущем схема будет меняться но вря-ли в сторону ВПН.
Правда с удовольствием бы выслушал , какую именно схему вы предлагаете.
SlavaD | Профиль
Дата 21 Ноября, 2005, 12:09
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 21
Вне форума



Koios
Цитата
Правда с удовольствием бы выслушал , какую именно схему вы предлагаете.

Чтобы предлагать конечно рабочую схему, надо знать конкретную ситуацию, чтобы иметь представление о том какие возможности есть.
На вскидку 2 варианта, как выдать клиенту 1 реальный IP и при этом не терять еще 3:

1-й - дикий, но вполне рабочий:
тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. IP выданный клиенту, используя SNAT и DNAT, подменяем реальным. В результате у клиента появляются все возможности работы с реального IP.

2-й - VPN, уже предлагался
тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. Дальше клиент проходит VPN авторизацию, где ему выдается 1 реальный IP. Из под которого он без проблем получает доступ в интернет.
PMEmail Poster
1/7191   
Пэтро |
Дата 21 Ноября, 2005, 12:23
Quote Post



Unregistered









А зачем эти IP вообще экономить? Насколько я понимаю когда полностью введут IPv6 адресов будет на всех достаточно.

Цитата
Адресное пространство IPv6 было расширено с 32 бит до 128, что теоретически позволяет адресовать 2 в 128 степени узла - это больше, чем количество протонов в веществе планеты Земля.

http://www.ipv6.ru/archive/press-rel-01091999.html

SlavaD | Профиль
Дата 21 Ноября, 2005, 12:33
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 21
Вне форума



Пэтро
IPv6 врядли скоро будет введено ...
PMEmail Poster
Funky |
Дата 21 Ноября, 2005, 13:47
Quote Post



Unregistered









Цитата
1-й - дикий, но вполне рабочий:
тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. IP выданный клиенту, используя SNAT и DNAT, подменяем реальным. В результате у клиента появляются все возможности работы с реального IP.

Отпадает по причине нестабильной работе одной из наших Cisco при поднятом NATе одновременно с NETFLOW. Может новая версия IOS что то и изменит.
Цитата
2-й - VPN, уже предлагался
тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. Дальше клиент проходит VPN авторизацию, где ему выдается 1 реальный IP. Из под которого он без проблем получает доступ в интернет.

Есть над чем подумать, спасибо smile.gif
Funky |
Дата 21 Ноября, 2005, 17:00
Quote Post



Unregistered









Кстати, хотел бы узнать мнение тех кто в интернет "ходит" через VPN.
И как ведут себя сервисы поднятые на ВНП каналах. Лично мои воспоминания о пользовании интернетом через ВПН не совсем приятны. Не раз приходилось переподключаться, так как сессии рвались. В конце концов в Crone пришлось прописать каждые полчаса проверку того есть ли канал и если нет то Cron "поднимал" его заново.
SlavaD | Профиль
Дата 21 Ноября, 2005, 18:27
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 21
Вне форума



Koios
Давайте угадаю, речь идет о PPTP VPN на не очень стабильном канале ?
Есть такая болезнь у него.
PMEmail Poster
Funky |
Дата 21 Ноября, 2005, 18:37
Quote Post



Unregistered









SlavaD
Я был всего лишь клиентом - не в курсе что было поднято у провайдера smile.gif Сам как-то поднимал MPD под FreeBSD - вроде все работает до сих пор без нареканий (но без нагрузок). Читал что OpenVPN самый лучший. Хотя в последнее время Cert зачастил о уязвимостях в нем..... g.gif
Посему интересны мнения...
Например что вы мспользуете в кач-ве сервера ?
SlavaD | Профиль
Дата 21 Ноября, 2005, 19:08
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 21
Вне форума



По разному, от ситуации зависит, VPN pptp, IPSec.
Сервера под линуксом.
PMEmail Poster
17/7191   

Topic OptionsСтраницы: (2) [1] 2  Start new topic Start Poll 

 



[ Script Execution time: 0.0147 ]   [ 12 queries used ]   [ GZIP включён ]






Политика конфиденциальности

Top