10 февраля 2014 г., 16:44 пользователь Lystopad Aleksandr <l...@laa.zp.ua>написал:
> > > P.S. Возможно я погорячился, что правила в ntpd.conf не работают... > > Но как вычислить жертву в таких запросах актуален. > > IMHO: > Дык а разве не с src ip жертвы летит поток запросов? То есть если > дофига запросов к ntp -- то явно подставной ип-адрес жертвы в src ip > запросов. > Trafshow показывал множественные запросы к жертве: lh25767.voxility.net,23756 и к IP из сети 37.187.0.0 (особенности трафшоу) Сейчас это имя не ресолвится. Я поэтому и решил, что они как-то хитро передавали запрос и рикошетом уходило жертве. Теперь я смотрю список источников, которые долбили мои NTP: 37.187.133.51 109.163.232.229 209.212.144.112 72.20.46.22 174.36.245.59 174.92.158.198 50.23.91.144 212.219.193.236 74.208.146.18 69.31.20.75 119.252.190.33 Первый IP очень похож на жертву. Попутный вопрос к присутствующим: А вы фильтруете вход изнутри вашей сети, чтоб приходили src только из вашего диапазона сетей? -- Vladislav V. Prodan System & Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE
