Hi, Oleg! On Wed, Sep 24, 2003 at 09:54:31AM -0400, Oleg Panashchenko wrote:
On Wed, Sep 24, 2003 at 03:36:59PM +0200, Michael Petuschak wrote:
[Skipped by Sergey Babitch]
Все особи вируса жаждут ньюсов. Ломятся на open usenet servers,
Так и не понял из описания, чего им там надо.
В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно. Вернее понятно, если считать это явон выраженной DoS атакой.
А вот если...
Такой кошачий(?) фильтр, что ограничивает количество входящих пакетов с SYN_FLAG через внешнюю трубу до стольки-то штук в минуту для такого-то блока IP-адресов.
Это можно сделать и на unix-ном firewall-е.
Выделить всему Китаю/8 всего 20 SYN'ов в минуту - фиг он какой сервис положит. А пройдет волна - все само и откроется.
Вся беда в том, что это не только Китай. Это и Америка (US), и Канада (CA), и Англия (UK), и Италия, и Тайвань. Это то что на вскидку я помню уже. А вообще, на news.lucky.net уже отфильтровано более 50 достаточно крупных префиксов: -A TWIT -s 24.80.0.0/13 -j DENY -A TWIT -s 61.0.0.0/8 -j DENY -A TWIT -s 62.0.64.0/18 -j DENY -A TWIT -s 63.64.0.0/10 -j DENY -A TWIT -s 63.138.0.0/15 -j DENY -A TWIT -s 63.176.0.0/12 -j DENY -A TWIT -s 64.38.64.0/19 -j DENY -A TWIT -s 64.78.76.0/24 -j DENY -A TWIT -s 65.85.0.0/16 -j DENY -A TWIT -s 67.112.0.0/12 -j DENY -A TWIT -s 68.50.0.0/16 -j DENY -A TWIT -s 68.72.0.0/13 -j DENY -A TWIT -s 68.164.0.0/14 -j DENY -A TWIT -s 80.117.0.0/16 -j DENY -A TWIT -s 80.128.0.0/11 -j DENY -A TWIT -s 80.176.0.0/15 -j DENY -A TWIT -s 81.58.0.0/15 -j DENY -A TWIT -s 81.6.192.0/18 -j DENY -A TWIT -s 142.165.0.0/16 -j DENY -A TWIT -s 142.166.0.0/16 -j DENY -A TWIT -s 151.30.0.0/16 -j DENY -A TWIT -s 158.254.0.0/16 -j DENY -A TWIT -s 193.250.0.0/16 -j DENY -A TWIT -s 194.244.0.0/16 -j DENY -A TWIT -s 195.121.0.0/16 -j DENY -A TWIT -s 200.0.0.0/8 -j DENY -A TWIT -s 202.0.0.0/7 -j DENY -A TWIT -s 205.200.0.0/16 -j DENY -A TWIT -s 205.240.0.0/13 -j DENY -A TWIT -s 206.148.0.0/15 -j DENY -A TWIT -s 207.48.0.0/14 -j DENY -A TWIT -s 207.69.0.0/16 -j DENY -A TWIT -s 207.222.224.0/19 -j DENY -A TWIT -s 208.186.0.0/15 -j DENY -A TWIT -s 209.52.0.0/16 -j DENY -A TWIT -s 209.86.0.0/16 -j DENY -A TWIT -s 209.205.128.0/18 -j DENY -A TWIT -s 209.208.0.0/16 -j DENY -A TWIT -s 210.0.0.0/7 -j DENY -A TWIT -s 212.77.192.0/19 -j DENY -A TWIT -s 212.166.64.0/19 -j DENY -A TWIT -s 213.61.0.0/16 -j DENY -A TWIT -s 213.235.128.0/18 -j DENY -A TWIT -s 216.76.0.0/14 -j DENY -A TWIT -s 216.179.0.0/16 -j DENY -A TWIT -s 217.0.0.0/13 -j DENY -A TWIT -s 217.80.0.0/12 -j DENY -A TWIT -s 217.129.0.0/16 -j DENY -A TWIT -s 217.134.0.0/15 -j DENY -A TWIT -s 217.208.0.0/13 -j DENY -A TWIT -s 217.224.0.0/11 -j DENY -A TWIT -s 218.0.0.0/7 -j DENY -A TWIT -s 220.0.0.0/7 -j DENY И эта таблиза продолжает пополняться... Опять же, тупо ограничить количество SYN-пакетов до 10 штук в минуту тоже несколько проблематично... Некоторые клиенты делают и больше... Например из-за NAT-а, или с того же webnews.lucky.net. -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message