---

Scenarie:

Gatewayboks (Linux) giver adgang for ca. 300 kollegianere til internet.
L*** sker og indtil flere er inficeret med orm og vira, der genererer en
pokkers masse pakker imod gatewayen (man vil jo ud på 'nettet og formere
sig, vil man .

Den normale RX-rate på LAN-interfacet ligger på 6-900 pakker/sek. Ved
"angreb" er 6-70000 pakker/sek. set flere gange. Ja, det er rigtigt;
halvfjerdstusinde pakker per sekund.

Nu ligger det desværre sådan at netværket er en smule autonomt, så mange
af de normale admin-rutiner kan være lidt svære at gennemføre.

Bl.a. fordi der f.eks. ikke /er/ nogen admin (jeg administrerer
gatewayboksen, men har ellers ikke noget med det at gøre).

Man kan bruge tid på at finde synderen og så lukke ham ned, men det vil
give meget ekstraarbejde.

Hvad findes der af smarte ting man kan gøre for at komme problemet til
livs? Evt. dæmpe dets effekt?

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

> Man kan bruge tid på at finde synderen og så lukke ham ned, men det vil
> give meget ekstraarbejde.
>
> Hvad findes der af smarte ting man kan gøre for at komme problemet til
> livs? Evt. dæmpe dets effekt?
>

evt. kan du jo ændre lidt i firewall scriptet, og lave string search i
pakkerne. Se evt. hvad de forskellige orme udsender og bloker TCP pakker
som indeholder en given string.

Derudover er der mange af ormene som benytter sig af RPC services i
windows... Luk af udgang til windows RPC services. Vil tro du skal lukke
af for udgående porte: 445,137,138,139. Det skulle hjælpe.


Følgende skulle gøre det(Kan ikke helt huske om det korrekt syntax->
iptables -A FORWARD -p tcp --port 445 -j DROP
iptables -A FORWARD -p tcp --port 137 -j DROP
iptables -A FORWARD -p tcp --port 138 -j DROP
iptables -A FORWARD -p tcp --port 139 -j DROP

Hilsen Mikkel