IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [144]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [512]
    Видеорегистраторы [188]
    Гаджеты для спорта и здоровья... [191]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [446]
    Накопители данных [233]
    Нетбуки, Ноутбуки, Ультрабуки [691]
    Мультиварки, блендеры и не только... [164]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [40]
    Своими руками [366]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4963]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [53]
    Электронные книги [102]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [109]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3983]
    mini computers и не только... [412]
    News IT, Это интересно, ликбез... [1121]
    Smart TV, UltraHD, приставки, проекторы... [416]
    Smart Watch [269]
    Sound: наушники, плееры, усилители... [619]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 126
    Гостей: 126
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2014 » Февраль » 28 » Время закрывать дыры или поучительная история
    06:29
    Время закрывать дыры или поучительная история

    Время закрывать дыры или поучительная история

    К сожалению, многие из нас поддаются правилу: "Временно сделаем так, а после переделаем как надо!". Думаю, мало кто будет это отрицать. Вот и я не исключение. Когда только начинал настраивать сервер, вначале думал: "Это так, не серьезно. Только посмотреть, что он из себя представляет. Поглядеть на FreeBSD", и прочее...  Поэтому на настройку firewall внимания не обращал, сделал NAT и поставил правило "пропускать все и от всего", и позже, если что, настрою как надо. Но вот сервер перерос в нечто большее, чем просто интерес.

    Так вот, в один прекрасный вечер все стало плохо. Ничего не грузится, а если точнее, то вовсе отстуствует upload (исходящий трафик). Да, вы не ослышались, именно он. Начинаем разбираться. У меня на сервере для мониторинга стоит zabbix, и вот там на графиках видно, что тот самый upload есть... И он не просто есть, а зашкаливает. Непонятным образом он возрос до 12 Мб/с, а по данным zabbix'а максимальная отметка - 18 Мб/с. Хотя исходящий трафик у провайдера должен резаться на уровне 400-600 Кб/с. Это был шок. Непонятными стали два момента: во-первых, что гоняет такой трафик, и во-вторых, почему не режется upload.

    Начинаем разбираться с первым вопросом. Имеем кучу непонятного трафика, netstat говорит про кучу соединений к ntpd. Вспоминаем про открытые порты. Есть быстрый вариант резать все входящие UDP-соединения, но это неправильный "временный" вариант, ведь некоторые соединения могут оказаться нужны. Здесь нам поможет очень хорошая кросплатформенная утилита с названием Nmap.

    Она сканирует и выводит список всех открытых портов. Имеет очень много параметров. Сканирует на наличие открытых как TCP, так и UDP-портов. Это не все ее полезные функции, есть "скрытое" сканирование, опеределение ОС и т.д. Введите nmap -h и удивитесь, сколько там всего полезного.

    Запускаем сканирование командой

    nmap -sS -sU 217.64.141.53

    Через несколько минут видим, что есть несколько открытых UDP-портов, на одном из которых работает ntpd - UDP-порт 123. Закрываем его и проблема исчезает.

    Для Freebsd:

    ipfw add deny udp any to me dst-port 123 via rl0

    в переводе оно звучит так: "ipfw добавить запрещающее правило для udp для всех соединений ко мне для конечного порта 123 на интерфейсе rl0"

    За одним закрываем остальные ненужные и "вредные" порты. Кибербезопасность даже для такого, казалось бы, малого сервера оказалась нужна. Имеем опыт и мотивацию на будущее - закрывать все дыры сразу. Уже несколькими днями позже видим статью на ХабраХабре про DDos атаку при помощи ntp сервера, и понимаем, с чем имели дело.

    Ну а по поводу второго вопроса. Видимо, провайдер режет только TCP-трафик, не трогая UDP.

    Итак, никогда не откладывайте настройку firewall, не поленитесь создать отдельных пользователей без прав суперпользователя, не сидите постоянно под рутом, и обязательно делайте бэкапы.


    http://linux-easy.ru/blog/nastrojka/server/vremja-zakryvat-dyry-ili-pouchitelnaja-istorija.html

    Категория: Безопасность IT | Просмотров: 562 | Добавил: laptop | Рейтинг: 4.0/1
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024