[Techinfo] DDOS támadás
Veres Sándor
veresh at kossuthzs-szeged.sulinet.hu
2018. Okt. 17., Sze, 13:45:34 CEST
Szia!
2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
> Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent tiltok, csak
> azt engedem, amit én akarok, ez meg csak a webes forgalom, de az is
> csak a kliensek felől irányuló kérések alapján.
> Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet, egyébként
> meg naplózom és DROP.
> Valahol, régebben olvastam, hogy ezt így érdemes csinálni és lehet,
> hogy tényleg...
>
> Épp a szervereim központi naplózását próbálom megoldani, amikor arra
> lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó, különböző
> ip címekről jövő csomag. Mind 40 bájtos és mindegyik forrásportja a
> 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik célcíme a
> tűzfalam publikus lába.
>
> És itt jön az első kérdés: anno nem kértem semmilyen portnyitást a
> tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem kéne már a
> NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?
Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is. Akkor ezek
a csomagok szerintem a klienseidtől induló kérésekre érkezett válasz
csomagok, amelyeknek a forrás portja természetesen 80 és 443, mivel a
klienseid ezeket "címezték meg".
Veres Sándor
További információk a(z) Techinfo levelezőlistáról