Ночью атаковали мой сервер. Провайдер настаивает, что это была целенаправленная тщательно подготовленная атака. Судя по логам, сломать так и не сломали, а может и не было такой цели, но фрагментированными пакетами закидали так, что у меня только лог весит 17 Гб :-( Всё бы ничего, но входящего трафика нагенерировали аж 9 Гигов, что у нас в городе оценивается почти в полтора килодоллара :-(( Что в таких случаях можно предпринимать??? Провайдер говорит, что единственная возможность - поставить фильтры у них, дабы не долетало до меня ничего, кроме разрешенного, но это не решает проблемы трафика, он всё равно учитывается как пришедший извне на мой IP. и тут же 2-й вопрос. можно ли как-то гасить сервер в случае обнаружения подобного вторжения. Система W2k server + MS ISA Server. ISA ведет логи всего что только можно.

Есть вариант! Может помочь, но тут есть минус. Закрой входящий траффик на ICMP протокол (типы Echo Reply и Echo Request). В этом случае твой ip не будет принимать и отвечать на эхо-запросы (ping). Хотя ты будешь работать нормально.

Это закрыто, мой сервер отвечает только на запросы по 25-му, 21-му и 80-му портам, для всех остальных его нет в сети, даже не отправляет отказ в доступе, просто нет и всё.
Просто провайдер как-то странно учитывает трафик... в общем я сижу под субпровайдером, так вот любой пакет вошедший от провайдера в сеть субпровайдера, т.е. дошедший до их маршрутизатора считается предназначающимся для кого-то в его сети, соответственно провайдер за него выставляет счет субпровайдеру, а ему что остается - мне предъявить его :-((

Так че он на тебя валит, если у него самого дыры вселенские в файрволе. Сам виноват. Пусть на маршрутизаторе запретит. Поставит флаг запрещающий фрагментацию пакетов. Тут вообще самому субпровайдеру стоит поразмыслить.

можно ли как-то гасить сервер в случае обнаружения подобного вторжения. Система W2k server + MS ISA Server.
В Исе есть Monitoring Configuration, там находешь узел Alerts, в нем дофига всяких событий, есть и ДНС атака, и POP атака и т.д.
Выбыраешь нужное событие, дважды кликаешь, откроется свойства, там вкладка Actions, можешь на ней поставить галку Stop service и выбираешь какие сервисы ИСы заглушить.
ЗЫ. Я, напирмер, так как у нас нет дежурного админа, прокси на ноч вырубаю от греха подальше.

Так там можно гасить только сервисы ISA... у мня алерты тоже настроены, всё сообщает мне на мыл и сотовый, если вдруг что-то нештатное происходит... Гасить проксю бессмысленно, она тут никаким боком, а вот во время атаки вырубить файрвол... я бы не стал рисковать. Хотелось бы полностью сам сервак гасить, тем более, что у него на всякий пожарный в биосе автостарт на 8:30 утра стоит, на случай если свет выключат, а УПСы небезразмерные ведь. я здесь на форуме встречал как-то темку про программное выключение компа, но это было давно, найти не смог :-(( Наверное можно было бы привязать к событию запуск батничка... Может кто помнит в какой теме это обсуждалось?

Гасить проксю бессмысленно,
Я имел ввиду сам сервер.
Хотелось бы полностью сам сервак гасить,
Млин, ну так там же в алертах в Акшине есть возможность запускать программы! Поставь себе прогу Power_Off и пусть ее ИСА запускает, она тебе сервак погасит. Програмулька сама маленькая - консольная версия 15К весит, а GUI не многим более 200К. Инсталяции не надо, в реестр ничего не пишет, указал ИСе запуск на консольную версию и все, никакие батники не нужны. Достаточно корректно она выключает.

Исправлено: Megabizon, 16:43 18-04-2003

Вот это я и имел в виду :о)) спасибо, поищу сей программ :о))

Добавлено:

Кста, народ, если кому интересно, я для ISA анализатор логов (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iamwg.exe) нашел неплохой :о)) 600 кб весит всего, к тому же бесплатный (бесплатная регистрация (http://www.internetaccessmonitor.ru/register.html) на сайте разработчика (http://www.internetaccessmonitor.ru) . Есть так же для WinGate (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iamwg.exe), WinRoute (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iamwr.exe), MS Proxy 2 (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iammsp.exe), WinProxy (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iamwp.exe), Squid (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iamsquid.exe), Proxy Plus (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=iampplus.exe), MDaemon (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=mammd.exe), Kerio MailServer (http://www.internetaccessmonitor.ru/pub/getfile.php?fid=mamkms.exe)
Только вот для WinGate 5.0 у меня не пошел, говорит не найдены логи, хотя для ISA и Mdaemon-a - за милу душу :о))

FWC
Я ее тебе мылом отослал!