Архив

Публикации с меткой ‘icmp’

Меры первой помощи при защите от систем распределённых атак

13 Апрель 2009 Нет комментариев

Начнём с того, что методы, которыми можно получить несанкционированный доступ к серверам с целью пуска распределённой атаки , очень и очень разнообразны. Вообще не существует стандартизированного и общего метода защиты от данного класса атак, но с другой стороны, существует ряд мер по улучшению безопасности, который просто необходимо принять. Ниже следует их краткий список:

1) Не поддавайтесь панике. Прошлые атаки как правило были направлены на создание панической обстановке в связи с типом целей, на которые они были направлены. Очень важно понять, что только довольно малый список компаний и серверов должны всерьёз вопринимать возможность distributed DoS. В этот список входят популярные сайты, включающие развитые популярные поисковые машины, центры e-Commerce, крупные и популярные IRC-сервера или же новостные ленты. Иначе говоря, если Ваша любимая страница не имеет бболее 10000 посещений в день или же тысячного дневного оборота в случае, если это электронный магазин, Вам можно беспокоиться в меньшей степени.

2) Скоординируйте действия с Вашим Internet-провайдером. Очень важно, чтобы вы имели связь и поддержку со стороны тех, кто предоставляет Вам услуги хостинга. Общая пропускная спокобность каналов, задействованных в распределённой атаке так велика, то Ваша подсеть скорее всего не сможет выдержать нагрузки. Обязательно выясните у Вашего ISP, могут ли они примениьт род контроля, который ограничит суммарный объём входящего к Вам траффика, ссмогут ли они бороться уже на своих роутерах с огромным числом пакетов, имеющих поддельный (spoofed) обратный адрес. В идеальной ситуации, Ваш ISP должен предоставить Вам статистикуу или же дать доступ к роутерам в случае надвигающейся атаки.

3) Оптимизируйте структуру роутинга в вашей сети. Если у вас не один хост, но большая сеть, вам лучше произвести необходимую настройку роутеров чтобы минимизировать последствия DoS-атаки. Чтобы предотвратить SYN-флуд, обеспечьте надлежащую настройку Вашего файлвола (довольно подробную документацию самой компании СISCO, посвящённую этому вы можете так же прочитать на VOID.RU. Обеспечьте фильтрацию, к примеру, UDP, IGMP, ICMP-траффика (то есть тех протоколов, которые не являются необходимыми для нормального функционирования Вашей сети). Запретите ИСходящий ICMP-unreach траффик (таким траффиком Ваши хосты будут отвечать на ICMP-флуд).
Читать далее…

Categories: Администрирование Tags: , , ,

Возможности утилиты tcpdump от А до Я

26 Март 2009 Нет комментариев

Иван Скляров (www.sklyaroff.ru)

Сеть напоминает кровеносную систему, а движущиеся по ней пакеты сродни тромбоцитам, лейкоцитам и прочим клеткам крови. Однако не все, что плавает в крови, несет пользу. Периодически в кровь проникает зараза, которая стремится навредить или даже убить весь организм. Чтобы обнаружить и вовремя устранить заболевание, необходимо сдавать кровь на анализы. С аналогичной целью следует анализировать «сетевую кровь». Стандартным инструментом для такого анализа в *nix является утилита tcpdump.
Виртуозное владение опциями командной строки

Утилита tcpdump представляет собой сетевой анализатор пакетов, разработанный Lawrence Berkeley National Laboratory. Если tcpdump запустить без каких-либо параметров, она будет перехватывать все сетевые пакеты и выводить о них информацию. С помощью параметра ‘-i’ можно указать сетевой интерфейс, с которого следует принимать данные:

# tcpdump -i eth2
Читать далее…

Categories: Без рубрики Tags: , , ,