Det er et DOS mod vores Firewall, samt portscanning. Jeg har vedlagt en
lille del af vores Logfil.
Log start--
Dec 22 21:21:03 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:132.239.17.119/6300 dst outside:yyy/5802
Dec 22 21:21:13 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:80.138.204.97/17247 dst outside:yyy/5802
Dec 22 21:21:15 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:217.232.32.186/9371 dst outside:yyy/5802
Dec 22 21:21:35 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:132.239.17.119/6400 dst outside:yyy/5802
Dec 22 21:23:48 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:48 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:49 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:49 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:50 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:51 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:51 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
-- Log slut
xx er ip adressen på vores Pix, og yyy er den eksterne adresse.
Problemet er at vores DMZ zonen bliver låst flere gang i løbet af døgnet,
nogle gang i op til 10min. Portscanning er ikke noget stort problem, dem har
vi temmelig meget af også før vores angrebet på vores Pix.
Tak for tippet til jer begge. Så er der lidt at arbejde med
T
"Peter Kruse" <kruse@_rouchSPAM_railroad.dk> skrev i en meddelelse
news:3e05f610$0$208$edfadb0f@dread14.news.tele.dk...
"news.euroconnect.dk" <..> skrev i en meddelelse
news:3e05e46f$1@news.wineasy.se...
> Er der nogle der kender et godt redskab til at "forsvare sig" mod et DOS
> angreb?
Hej,
Det er ikke meget data du giver. Er det et DoS mod dit website? En
applikation?
Cisco har en udemærket side, som fortæller lidt om DDoS og hvad du kan gøre
for at
gøre angrebet mere ineffektivt:
http://www.cisco.com/warp/public/707/newsflash.html
Der findes også software som kan bøje et angreb af og give legitim trafik
uhindret
adgang til dine services, f.eks.
http://astanetworks.com/products/vantage/
http://mazunetworks.com/
Venligst
Peter Kruse
http://www.krusesecurity.dk