Ho visto il log del mio router ed ho trovato queste cose:

12/07/2005 00:59:32 **SYN Flood to Host** 192.168.0.110, 2052->> 151.1.141.96, 80 (from ATM Outbound)

12/07/2005 00:11:53 **UDP flood** 201.248.241.216, 4672->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 23:38:38 **ICMP Redirect** 84.121.9.247->> 81.75.228.161, Type:5, Code:1 (from ATM Inbound)

12/06/2005 23:37:12 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 16:30:24 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 10:07:03 **LAND** 81.75.228.161, 80->> 81.75.228.161, 2429 (from ATM Inbound)

Mi devo preoccupare? (per l'ultimo non credo visto che ho un server web interno) però gli altri ho cercato su internet ma non capisco se sono cose normali o meno...

Ciao,

in quel log sono riportati i più comuni attacchi ai quali noi tutti siamo sottoposti quotidianamente. Possono essere diretti e intenzionali (da parte di un pirata informatico) oppure più frequentemente vengono "sferrati" da macchine "vittime" (i cosiddetti Zombie) che hanno beccato qualche tipo di virus scritto appositamente e che sparano casualmente "nel mucchio".

In particolare SYN Flood, UDP flood, ICMP flood, Smurf e Land sono attacchi di tipo "Denial of Service"
Lo scopo è di causare l'esaurimento delle risorse (memoria, banda...) e vengono realizzati per bloccare router e rete a causa dell'eccesso di traffico generato.

Se il firewall del tuo router è impostato correttamente e il tuo web server utilizza tecniche di limitazione di banda non corri rischi particolari

Quali sono le tecniche di limitazione di banda del webserver?

Ciao,

per esempio Apache ha degli "adds-on" che si occupano della limitazione di banda tuttavia se non hai ricevuto attacchi DoS ben organizzati tali da buttarti off line penso non servano neppure. Io uso Apache 1.33.3 e sono ininterrottamente on line da oltre 6 mesi con una macchina sperimentale (vedi sign). Nessuno ha ancora ritenuto utile bombardarmi con un bel DoS "distribuito" :D Evidentemente il mio sito non è molto importante. I dossatori di professione preferiscono prendersela con microsoft.com e con google.com piuttosto che con wgator.it :p

Log di tentati DoS ne leggo almeno una decina al giorno sulla mia rete, tutti probabilmente provenienti da ignari utenti ADSL che magari hanno beccato il Netsky o il Mydoom e cercano altre macchine da rendere zombie a loro volta

Ho visto il log del mio router ed ho trovato queste cose:

12/07/2005 00:59:32 **SYN Flood to Host** 192.168.0.110, 2052->> 151.1.141.96, 80 (from ATM Outbound)

12/07/2005 00:11:53 **UDP flood** 201.248.241.216, 4672->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 23:38:38 **ICMP Redirect** 84.121.9.247->> 81.75.228.161, Type:5, Code:1 (from ATM Inbound)

12/06/2005 23:37:12 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 16:30:24 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 10:07:03 **LAND** 81.75.228.161, 80->> 81.75.228.161, 2429 (from ATM Inbound)

Mi devo preoccupare? (per l'ultimo non credo visto che ho un server web interno) però gli altri ho cercato su internet ma non capisco se sono cose normali o meno...

che router è ?

l'ultimo, land, sfruttava credo un vecchio baco di win 95b non patchato, in pratica una mancata protezione di loopback che mandava rapidamente in crash il sistema (schermate blu e reset obbligati): ne parlo al passato perchè ormai è difficile trovare sistemi vulnerabili a questo tipo di nuke, ma svariati anni fa mieteva molte vittime.

3com office connect
ma la porta 80 è aperta verso il web server

3com office connect
ma la porta 80 è aperta verso il web server

ah beh non puoi farne a meno....

Nessuno ha ancora ritenuto utile bombardarmi con un bel DoS "distribuito" :D Evidentemente il mio sito non è molto importante. I dossatori di professione preferiscono prendersela con microsoft.com e con google.com piuttosto che con wgator.it :p


Il giorno dopo.... :cry: :cry:

3com office connect
ma la porta 80 è aperta verso il web server

Ciao,

si, tutto regolare. Ti ho fatto un veloce "port scan" ed ho visitato il tuo sito (Si***d Automazione, l'ho asteriscato per tutelare la tua privacy)
Se non usi anche un server FTP, chiudi dal router la porta 21 (risulta aperta ma non raggiungibile) per il resto non vedo bachi di sicurezza ;)