|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Как можно заблокировать попытки проверок на cache overflow? |
|
|
Как можно заблокировать попытки проверок на cache overflow?
|
|
Новый участник Сообщения: 6 |
Как можно заблокировать попытки проверок на cache overflow?
Тут ситуация вот в чем. Если раньше - месяц-два назад до шухера с этой MSWin дырой cache overflow, такие попытки были длинной 3-4 кБт и до 30-ти в сутки, то за последние недели 2 по анализу логов, отни уже ровно 66301 Бт и их 150-200+ в сутки. Все это, ест-но, не пропускается (сервер пропатчен). Но, усредняя 200 попыток в сутки на месяц, *получаем 400+ МБт !!! лишнего входного (оплачиваемого) трафика. Система: Win2K AdvServ ( без КД и АД) как шлюз в Инет (NAT) *и DNS (cach-mode); плюс IIS для guest-открытого веб-сайта - визитки. Цитата лога IIS (одна попытка взлома): time * * * * *c-ip cs-username s-computername s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes 00:10:11 65.209.120.2 - мой-сервер 80 GET /index.html - 200 0 189 00:10:21 65.209.120.2 - мой-сервер 80 SEARCH / - 411 210 42 00:10:58 65.209.120.2 - мой-сервер 80 SEARCH /AAA.....NN - 404 0 66301 1. вот в этих пяти точках AAA.....NN и сидит 66301; 2. еcт-но, "c-ip" 65.209.120.2 *в каждой попытке другой (наверняка open proxy, проверять - только время тратить). Пож., кто может что посоветовать, а то в конце месяца мне сладко за такой лишний траффик от руководства не будет. |
|
|
Отправлено: 16:48, 12-09-2003 |
|
Шаман Сообщения: 901
|
Профиль | Отправить PM | Цитировать BorisD
Цитата:
|
|
|
------- Отправлено: 11:49, 15-09-2003 | #2 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать ArtemD
Цитата:
Но меня в этом случае *больше интересует теория: 1. "как" (чем, по какому признаку, и т.п.) провайдер сможет "резать" такие атаки? *Др. словами, на каком языке с ним говорить? 2. Есть ли возможность на сервере на лету анализировать запросы (см. 1-ю и 2-ю строку лога) и принять решение "оборвать коннект" с данным IP - отнести данный IP в блеклист и в дальнейшем отвечать на его запросы например кодом 500? 3. Аналогично спискам открытых релеев для SMTP (для первичного блокирования спама почтовым сервером) сущ-ют списки публичных прокси для аналогичных блокировок (fe. dnsbl.njabl.org). Кто и как ими пользуется? Буду весьма признателен, за любые пояснения по теме. |
|
|
Отправлено: 12:58, 15-09-2003 | #3 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Загрузка - Как избавиться от попытки реинсталляции после удаления папки с программой ? | kefi | Microsoft Windows 2000/XP | 2 | 27-11-2009 00:35 | |
| Загрузка - [решено] Можно ли заблокировать прописывание программы в автозагрузке? | truvo | Microsoft Windows 2000/XP | 5 | 24-03-2009 08:53 | |
| Вопрос - Как отследить все неудачные попытки авторизации в домене. | nghst | Microsoft Windows NT/2000/2003 | 2 | 11-02-2009 00:48 | |
| Как настроить обновление DNS-cache на раб.станциях | Newlog | Microsoft Windows NT/2000/2003 | 4 | 08-09-2006 08:55 | |
|
|
Время: 06:01. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
