Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Как можно заблокировать попытки проверок на cache overflow? (http://forum.oszone.net/showthread.php?t=29064)

BorisD 12-09-2003 16:48 201804

Как можно заблокировать попытки проверок на cache overflow?

Тут ситуация вот в чем.
Если раньше - месяц-два назад до шухера с этой MSWin дырой cache overflow, такие попытки были длинной 3-4 кБт и до 30-ти в сутки, то за последние недели 2 по анализу логов, отни уже ровно 66301 Бт и их 150-200+ в сутки. Все это, ест-но, не пропускается (сервер пропатчен). Но, усредняя 200 попыток в сутки на месяц, *получаем 400+ МБт !!! лишнего входного (оплачиваемого) трафика.

Система:
Win2K AdvServ ( без КД и АД) как шлюз в Инет (NAT) *и DNS (cach-mode);
плюс IIS для guest-открытого веб-сайта - визитки.

Цитата лога IIS (одна попытка взлома):
time * * * * *c-ip cs-username s-computername s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes
00:10:11 65.209.120.2 - мой-сервер 80 GET /index.html - 200 0 189
00:10:21 65.209.120.2 - мой-сервер 80 SEARCH / - 411 210 42
00:10:58 65.209.120.2 - мой-сервер 80 SEARCH /AAA.....NN - 404 0 66301

1. вот в этих пяти точках AAA.....NN и сидит 66301;
2. еcт-но, "c-ip" 65.209.120.2 *в каждой попытке другой (наверняка open proxy, проверять - только время тратить).

Пож., кто может что посоветовать, а то в конце месяца мне сладко за такой лишний траффик от руководства не будет.

ArtemD 15-09-2003 11:49 201805

BorisD
Цитата:

а то в конце месяца мне сладко за такой лишний траффик от руководства не будет.
осмелюсь предположить, что скорее всего ваш провайдер может предложить услуги по защите вашего сервера от атак. програмный или аппаратный фаервол может такое. но если он стоит у вас, то трафик от провайдера все равно прийдет... поэтому резать надо именно у провайдера.

BorisD 15-09-2003 12:58 201806

ArtemD
Цитата:

поэтому резать надо именно у провайдера.
Допустим. Но у нас 2 инет входа *от разных провайдеров, и, след-но, договариваться надо с обоими...
Но меня в этом случае *больше интересует теория:
1. "как" (чем, по какому признаку, и т.п.) провайдер сможет "резать" такие атаки? *Др. словами, на каком языке с ним говорить?
2. Есть ли возможность на сервере на лету анализировать запросы (см. 1-ю и 2-ю строку лога) и принять решение "оборвать коннект" с данным IP - отнести данный IP в блеклист и в дальнейшем отвечать на его запросы например кодом 500?
3. Аналогично спискам открытых релеев для SMTP (для первичного блокирования спама почтовым сервером) сущ-ют списки публичных прокси для аналогичных блокировок (fe. dnsbl.njabl.org). Кто и как ими пользуется?
Буду весьма признателен, за любые пояснения по теме.


Время: 21:59.

Время: 21:59.
© OSzone.net 2001-