mi tengono bloccata la connessione, come posso evitarlo?

[cadmio]

Sto cercando di risolvere un problema legato alla ricurezza:

A me a ad un mio amico ci avanza un vecchio pc che non riuscendolo a vender abbiamo pensato di usarlo per reggere un sito x tifosi milanisti
Tra poche settimane dovrò reggere un sito che riguarda la squadra della mia città( il milan )nel frattempo lo sta reggendo un mio amico
(faremo metà a testa per dividere i consumi di corrente elettrica) putroppo da quando ha messo on-line il sito ha notato che da un pò di sabati notte sino a domenica sera x tutto questo tempo la sua connessione non va più,ossia il suo router è acceso ma quando tenta di aprire una qualunque pagina internt riceve il famoso messggio :" pagina non trovata".
Cosa molto strana perchè ha chiamato il suo provider x vedere se in zona c'erano guasti ma la risposta è stata negativa.
Finchè Lunedì scorso (mi pare) gli è arrivata una mail(mail scritta sul sito dalla quale si puo scrivere agli admin) da un visitatore con scritto: " hai visto come funziona bene il tuo sito durante il week-end? AHAHAHAHAH sembra che abbia dei problemi! Ricorda SEMPRE FORZA INTER by KarontE"
Io credo che qualche burlone nel week-end , non sapendo cosa fare, tiene bloccata la connessione anche se non riesco a capire come possa fare.
A questo punto abbiamo pensato di installare un firewall software sul pc nel quale si regge il sito,abbiamo provato il sygate,zoneallarm,kerio personal firewall.
La cosa strana è che il firewall,avendolo provato per circa 4 giorni nei logs non c'era traccia di un solo ping partito da qualunque ip.
Abbiamo quindi pensato che il firewall non fosse configurato correttamente, considerando che la connessione avviene tramite un router.
Successivamente gli ho consigliato di fare un test sul sito www.grc.com , appena finito il test il risultato è stato negativo.
Si è quindi deciso di disabilitare temporaneamente (per fare una prova) la connessione del router, per configurare la connessione tramite il modem asdl che usava anni fà.Adesso abbiamo attivato il firewall (il sygate) e dopo circa un 2 ore di connessione internet è arrivata l'avviso di un ping partito da ecc..
Si è pensato che il firewall software allora funziona ancora su un normale modem adsl. Finalmente il test su quel sito ha dato esito positivo, ma non possiamo usare un normale modem adsl perchè abbiamo 2 pc.
Scusate ma un router non dovrebbe essere più sicuro rispetto ad un normale modem adsl?
Inutile a dirsi che il mio amico ha aperto una porta x offrire il servizio del sito
A questo punto vi pongo 3 domande:

1)i firewall software vanno configurati con qualche opzione in più, se una persona si connette ad internet tramite un router?
2)c'e un modo per proteggersi da quegli attacchi che sfruttano la vulnerabilità di una porta aperta sulla queale viene offerto un servizio?
3)oppure non c'è modo di proteggersi?

Se qualcuno ha qualche idea la posti.. perfavore

[W.S.]

Ciao

1) in realtà è il contrario, con un router (e quindi dietro NAT) il personal firewall si occupa quasi solo delle connessioni in uscita mentre quando si usa un modem è responsabile anche per quelle in entrata. (per questo col modem avete rilevato falle, il router le chiudeva)

2) ci sono diversi modi, il problema è che possono essere anche molto complessi/onerosi (per tempo, soldi o competenze), prima di tutto è necessario capire cosa stia succedendo, per evitare di sparare con un cannone ad una mosca e magari pure a quella sbagliata.

3) vedi 2

Comunque, prima di tutto bisogna capire cosa è successo. Per farsi un'idea la prima cosa che mi viene in mente è quella di monitorare il traffico, in particolare quando il servizio va giù. Ora non conosco la quantità di richieste che deve sopportare il server ma non credo molte visto che da quanto ho capito è un sito domestico (sbaglio?).
Quindi o ti installi uno sniffer (tipo wireshark) e controlli il traffico (però devi conoscere un minimo di protocolli di rete) oppure potresti provare a togliere dalle regole del firewall l'abilitazione alle connessioni in entrata al servizio quando ci sono problemi. E' possibile che il firewall non rilevi nulla di strano perché è configurato per non controllare le connessioni in entrata verso quel servizio e quindi lascia passare gli attacchi. Disabilitando la regola (ovviamente solo temporaneamente) il firewall potrebbe mettersi a "parlare". Il metodo non è molto preciso ma senza conoscere molto di reti non mi vengono molte idee..

[cadmio]

si il sito viene tenuto on line tramite il pc da casa

non ho capito quando mi risp. alla prima domanda ....
Le falle le abbiamo trovate quando il test è stato fatto quando si era connessi con il router. Mentre invece quando ci siamo connessi con il modem adsl il test è stato positivo

Speravo di risolvere il problema nel modo piu semplice , ossia installare un buon firewall software e configurarlo all'interno di una lan domestica.
Oppure metterci in mezzo un buon firewall su macchina linux, ma anche a questo punto il problema è sempre uno e cioè come posso "controllare " il traffico in entrata su una porta quando quella porta mi server per offrire un servizio?

Quello che sta succendo secondo me è molto chiaro quindi io non intendo neanche sparare su nessuna mosca ma , bloccare che la mosca continui a girare in casa..... non so se capisci cosa voglio dire ....

[W.S.]

Mi sa che non ho capito io ma con positivo intendi che sono stati rilevati dei problemi e con negativo che va tutto bene?

Su win non so aiutarti purtroppo, se sei pratico di linux la cosa più semplice da fare è una regola in iptables che logga l'ip da cui vengono troppe richieste ed uno scriptino che legge il log e blocca temporaneamente quegli ip.

Che httpserver usate? Se apache penso si possa ottenere qualche risultato con qualche modulo per la verifica delle richieste.

Per me non è chiarissimo cosa succede.. da quanto ho letto qui potrebbe trattarsi sia di un DOS che di un attacco diretto a qualche vulnerabilità del server/sistema/sito. Nel primo caso (lo ritengo + probabile) i consigli sono quelli di prima, nel secondo è aggiornare tutto. In entrambi bisogna indagare meglio.

[cadmio]

non mi sono spiegato
Quando dico che ha dato esito negativo intengo dire che il portscan eseguito su quel sito ha "bocciato" il livello di sicurezza del mio pc.
Purtroppo è stato bocciato(respinto) quando abbiamo provato con il router e con il sygate attivo.
Quando invece dico che ha dato esito positivo intendo dire che il portscan su quel sito ha "promosso" il livello di sicurezza del mio pc.
Questo test invece è stato fatto con un normale modem adsl e con installato in quel momento sempre il sygate come firewall software.
Come è possibile che sia più "protetto" un pc che è collegato con un modem adsl anziche un router?
A questo punto non capisco come io possa configurare un firewall come il sygate o comodo , ecc , essendo all'interno di una lan.
Lo posso fare lo stesso ? ? ?

-il server è apache hai ragione

Penso anche io che stiano usando il DDOS oppure del synflood
Al riguardo ho delle semplici domande :
1)su macchina win è possibile installare un tool che possa ,non dico bloccare al 90% un dos, ma almeno un 40% in modo tale che la connessione del mio amico posso lo stesso andare, lenta , ma cmq attiva.
è possibile?
2)invece se mettessi in mezzo il firewall di linux sarebbe garantita un'ottima sicurezza? oppure anche in questo caso sarebbe da vedere?

[-B-G-]

Guarda da quello che capita alla tua linea potrebbe essere un synflood che tra l'altro sfugge ai controlli dei firewall perche nn é un attacco che colpisce direttamente la macchina,in questo caso sarebbe facile bloccare l'attacco proprio configurando una iptables come ha detto W.S.

[cadmio]

quindi mi stai dicendo che iptables/netfilter riesce a bloccare il dos?
Anche se una porta è cmq aperta?

nel caso in cui io volessi usare un piccolo firewall come il sygate o comodo , sapresti dirmi come lo posso configurare in modo che funzioni correttamente all'interno di una lan? a me interessa soprattutto questo