BorisD
12-09-2003, 16:48
Как можно заблокировать попытки проверок на cache overflow?
Тут ситуация вот в чем.
Если раньше - месяц-два назад до шухера с этой MSWin дырой cache overflow, такие попытки были длинной 3-4 кБт и до 30-ти в сутки, то за последние недели 2 по анализу логов, отни уже ровно 66301 Бт и их 150-200+ в сутки. Все это, ест-но, не пропускается (сервер пропатчен). Но, усредняя 200 попыток в сутки на месяц, *получаем 400+ МБт !!! лишнего входного (оплачиваемого) трафика.
Система:
Win2K AdvServ ( без КД и АД) как шлюз в Инет (NAT) *и DNS (cach-mode);
плюс IIS для guest-открытого веб-сайта - визитки.
Цитата лога IIS (одна попытка взлома):
time * * * * *c-ip cs-username s-computername s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes
00:10:11 65.209.120.2 - мой-сервер 80 GET /index.html - 200 0 189
00:10:21 65.209.120.2 - мой-сервер 80 SEARCH / - 411 210 42
00:10:58 65.209.120.2 - мой-сервер 80 SEARCH /AAA.....NN - 404 0 66301
1. вот в этих пяти точках AAA.....NN и сидит 66301;
2. еcт-но, "c-ip" 65.209.120.2 *в каждой попытке другой (наверняка open proxy, проверять - только время тратить).
Пож., кто может что посоветовать, а то в конце месяца мне сладко за такой лишний траффик от руководства не будет.
Тут ситуация вот в чем.
Если раньше - месяц-два назад до шухера с этой MSWin дырой cache overflow, такие попытки были длинной 3-4 кБт и до 30-ти в сутки, то за последние недели 2 по анализу логов, отни уже ровно 66301 Бт и их 150-200+ в сутки. Все это, ест-но, не пропускается (сервер пропатчен). Но, усредняя 200 попыток в сутки на месяц, *получаем 400+ МБт !!! лишнего входного (оплачиваемого) трафика.
Система:
Win2K AdvServ ( без КД и АД) как шлюз в Инет (NAT) *и DNS (cach-mode);
плюс IIS для guest-открытого веб-сайта - визитки.
Цитата лога IIS (одна попытка взлома):
time * * * * *c-ip cs-username s-computername s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes
00:10:11 65.209.120.2 - мой-сервер 80 GET /index.html - 200 0 189
00:10:21 65.209.120.2 - мой-сервер 80 SEARCH / - 411 210 42
00:10:58 65.209.120.2 - мой-сервер 80 SEARCH /AAA.....NN - 404 0 66301
1. вот в этих пяти точках AAA.....NN и сидит 66301;
2. еcт-но, "c-ip" 65.209.120.2 *в каждой попытке другой (наверняка open proxy, проверять - только время тратить).
Пож., кто может что посоветовать, а то в конце месяца мне сладко за такой лишний траффик от руководства не будет.