Старый PIII-500 под ASPLinux 11 (Seliger) в качестве роутера. Работает почти без перерыва уже лет 5. Последние два месяца по нескольку раз в день пользователи жаловались на медленный интернет. Когда наконец оторвал задницу от кресла, ужаснулся. Команда cat /proc/net/ip_conntrack | wc l временами выдавала до 40000 соединений. В среднем было 20000...30000 соединений. По trafshow увидел, откуда прут запросы. Оказалось это китайцы: 203.80.Х.Х. И запросы шли как на мой IP, так и на IP машин подсети моего провайдера. Пообщался с провайдером на тему - почему чужие пакеты летят на мою машину? Ничего внятного он не сказал, кроме как "это вы должны отсеивать". Тогда первым делом отбросил все пакеты, которые не для меня: iptables -A INPUT -s 0/0 -i $EXTIF -d ! $EXTIF -j DROP
Дня три было спокойно, потом снова шторм с 203.81.X.X. Тогда стал дропить эти пакеты, и по всем цепочкам:
iptables -A INPUT -s 203.81.0.0/16 -j DROP
iptables -A OUTPUT -s 203.81.0.0/16 -j DROP
iptables -A FORWARD -s 203.81.0.0/16 -j DROP
Снова затишье дня три, но на всякий пожарный постоянно держу трафик на контроле. И вот, теперь уже мой роутер шлет пакеты на 203.81.Х.Х. Было от чего прийти в ужас. С ходу определить зверя не смог, тогда просто стал дропить и эти исходящие пакеты:
iptables -A INPUT -d 203.81.0.0/16 -j DROP
iptables -A OUTPUT -d 203.81.0.0/16 -j DROP
iptables -A FORWARD -d 203.81.0.0/16 -j DROP
Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
Стал и эту подсеть дропать, но вскоре подобное началось с 218.188.0.0, 218.189.0.0 Гонконг
Стал и эту подсеть дропать, но вскоре подобное началось с 63.218.0.0 Эльдорадо
Потом 118.143.0.0/16, 208.92.223.0/24.
Сегодня утром 72.10.160.0/24 GloboTech
В общем, нет сомнений, что в моей системе живет зверек. Как его найти и обезвредить?
|
Вариант для распечатки
(ok) on 13-Дек-10, 12:18 
