[Techinfo] DDOS támadás

Veres Sándor veresh at kossuthzs-szeged.sulinet.hu
2018. Okt. 17., Sze, 13:45:34 CEST


Szia!

2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
> Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent tiltok, csak 
> azt engedem, amit én akarok, ez meg csak a webes forgalom, de az is 
> csak a kliensek felől irányuló kérések alapján.
> Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet, egyébként 
> meg naplózom és DROP.
> Valahol, régebben olvastam, hogy ezt így érdemes csinálni és lehet, 
> hogy tényleg...
>
> Épp a szervereim központi naplózását próbálom megoldani, amikor arra 
> lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó, különböző 
> ip címekről jövő csomag. Mind 40 bájtos és mindegyik forrásportja a 
> 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik célcíme a 
> tűzfalam publikus lába.
>
> És itt jön az első kérdés: anno nem kértem semmilyen portnyitást a 
> tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem kéne már a 
> NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?


Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is. Akkor ezek 
a csomagok szerintem a klienseidtől induló kérésekre érkezett válasz 
csomagok, amelyeknek a forrás portja természetesen 80 és 443, mivel a 
klienseid ezeket "címezték meg".

Veres Sándor




További információk a(z) Techinfo levelezőlistáról