![]() |
Как можно заблокировать попытки проверок на cache overflow?
Тут ситуация вот в чем. Если раньше - месяц-два назад до шухера с этой MSWin дырой cache overflow, такие попытки были длинной 3-4 кБт и до 30-ти в сутки, то за последние недели 2 по анализу логов, отни уже ровно 66301 Бт и их 150-200+ в сутки. Все это, ест-но, не пропускается (сервер пропатчен). Но, усредняя 200 попыток в сутки на месяц, *получаем 400+ МБт !!! лишнего входного (оплачиваемого) трафика. Система: Win2K AdvServ ( без КД и АД) как шлюз в Инет (NAT) *и DNS (cach-mode); плюс IIS для guest-открытого веб-сайта - визитки. Цитата лога IIS (одна попытка взлома): time * * * * *c-ip cs-username s-computername s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes 00:10:11 65.209.120.2 - мой-сервер 80 GET /index.html - 200 0 189 00:10:21 65.209.120.2 - мой-сервер 80 SEARCH / - 411 210 42 00:10:58 65.209.120.2 - мой-сервер 80 SEARCH /AAA.....NN - 404 0 66301 1. вот в этих пяти точках AAA.....NN и сидит 66301; 2. еcт-но, "c-ip" 65.209.120.2 *в каждой попытке другой (наверняка open proxy, проверять - только время тратить). Пож., кто может что посоветовать, а то в конце месяца мне сладко за такой лишний траффик от руководства не будет. |
BorisD
Цитата:
|
ArtemD
Цитата:
Но меня в этом случае *больше интересует теория: 1. "как" (чем, по какому признаку, и т.п.) провайдер сможет "резать" такие атаки? *Др. словами, на каком языке с ним говорить? 2. Есть ли возможность на сервере на лету анализировать запросы (см. 1-ю и 2-ю строку лога) и принять решение "оборвать коннект" с данным IP - отнести данный IP в блеклист и в дальнейшем отвечать на его запросы например кодом 500? 3. Аналогично спискам открытых релеев для SMTP (для первичного блокирования спама почтовым сервером) сущ-ют списки публичных прокси для аналогичных блокировок (fe. dnsbl.njabl.org). Кто и как ими пользуется? Буду весьма признателен, за любые пояснения по теме. |
Время: 21:59. |
Время: 21:59.
© OSzone.net 2001-