Scrivo per raccontarvi una situazione che mi e' successa.
Ieri sera stavo scaricando una libreria di cui ho bisogno e nello stesso tempo stavo facendo una chiacchierata su IRC con mio fratello, tanto per ingannare il tempo durante l'attesa.

Ero sotto KDE. In genere monitoro l'attivita' di rete con KTrayNetworker, tanto perche' mi piace avere quei due fulmini che si illuminano quando il modem invia e riceve dati.

Ad un certo punto noto che l'indicatore della ricezione si blocca (cioe' comincia a scaricare pacchetti alla velocita' della luce) mentre l'indicatore dell'invio si ferma completamente.

Il download si blocca completamente. Non e + possibile effettuare la risoluzione di qualsiasi host. Il client IRC non riesce + a spedire un pong al server IRC e la mia connessione a IRC cade inesorabilmente (PING TIMEOUT).

Allora stacco la connessione, attivo nel server l'opzione TCP SYN Cookies e riavvio. Mi ricollego nuovamente. Stessa storia. Il tizio mi aveva preso di mira.

Ora mi domando:
Possibile che nel 2005 alle porte si possa ancora fare questi giochini?
Non c'e' un modo per proteggersi?

I servizi sono tutti disabilitati, il firewall e' attivo, anche se con regole di default... Certo, se dovessi mettermi a capire come scrivere le rules di netfilter siamo a cavallo...

Qualcuno sa che tipologia di attacco potrebbe essere?

Grazie per la risposta.

bhe potresti impostare di evitare di rispondere ai ping...

e poi scusa ? ma hai l'ip fisso ?...

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

a questo punto.. se hai l'ip fisso.. allora ti conviene proprio studiarti o almeno cercare una configurazione per iptables contro gli attacchi dos...

per quanto riguarda il tipo di attacco per quello che ho capito potrebbero essere molte cose..

cmq un flood.. ma difficile capire di che genere...

prova al max a fare

#tcpdump -i ppp0 (o tua connessione) > log.txt

mentre ti stanno attaccando..

in modo da creare un log dei pacchetti che ti arrivano..


:rolleyes:

Innanzitutto grazie per la risposta.

No non ho un IP fisso. Ma il problema non e' tanto il tizio, quanto la liberta' di mantenere il mio nick senza aver paura che ogni volta debba arrivare qualcuno a frantumarmi le balle con questi giochini da bambino frustrato.

Comunque' provero' i tuoi consigli. Poi ti faro' sapere.
Mi tocca ad andare pure a riacchiappare i bambini per IRC :cry:

Originariamente inviato da mjordan
Qualcuno sa che tipologia di attacco potrebbe essere?

Dovresti dare una occhiata ai log del firewall. Sicuramente ci sono tracce.

Certo, se dovessi mettermi a capire come scrivere le rules di netfilter siamo a cavallo...
Invece dovresti. Scoprirai che ci sono modi per rimandare al mittente la propria spazzatura :D

uh che bello!
sembra di essere ai tempi delle lamerate con i vari nuke :rolleyes:

posta
iptables -nL

così vediamo che regole hai attivato


ciao

Originariamente inviato da ilsensine
Dovresti dare una occhiata ai log del firewall. Sicuramente ci sono tracce.

Invece dovresti. Scoprirai che ci sono modi per rimandare al mittente la propria spazzatura :D

Vedi, queste sono le cose vere, quelle autentiche, che potrebbero rendermi capace di leggere libri da migliaia di pagine
:sofico: :sofico:

Qualcuno e' cosi' gentile da postarmi una fonte di informazione completa per iptables? Grazie...

Qualsiasi dimensione, purche' comprensibile.

Originariamente inviato da NA01
uh che bello!
sembra di essere ai tempi delle lamerate con i vari nuke :rolleyes:


Appunto parlavo delle soglie del 2005 ... :(


posta
iptables -nL

così vediamo che regole hai attivato


Guarda non sono un esperto di iptables, ma non serve molta conoscenza per capire che significa tre parole affilate tutte uguali "accept".
:D :D :D :D :D :D :D :D :sofico:

Originariamente inviato da mjordan
Qualcuno e' cosi' gentile da postarmi una fonte di informazione completa per iptables? Grazie...

Qualsiasi dimensione, purche' comprensibile.
Questo è olto completo. http://iptables-tutorial.frozentux.net/iptables-tutorial.html

ciao ;)

Originariamente inviato da VICIUS
Questo è olto completo. http://iptables-tutorial.frozentux.net/iptables-tutorial.html

ciao ;)

Incredibile! Ero tornato per postare il tut che avevo trovato io!
Versione PS:

http://iptables-tutorial.frozentux.net/iptables-tutorial.ps.gz

Ma a questo punto mi domando:
Ha senso settare un firewall su una machina stand alone con connessione PPP? :confused:

Originariamente inviato da mjordan
Guarda non sono un esperto di iptables, ma non serve molta conoscenza per capire che significa tre parole affilate tutte uguali "accept".
:D :D :D :D :D :D :D :D :sofico:
mi auguro vivamente che poi le policy di default siano su drop.
o magari la tua distro insieme a un firewall simile distribuisca solo software invulnerabili :D

lanciando iptables -nl ti dà una linea tipo questa


Chain INPUT (policy ACCEPT)

o hai drop al posto di accept?

altrimenti mi sfuggirebbe il motivo di mettere delle regole impostate su accept, sono solo cicli di cpu buttati via....


ciao!

Originariamente inviato da mjordan
Ma a questo punto mi domando:
Ha senso settare un firewall su una machina stand alone con connessione PPP? :confused:
ha senso se vuoi evitare episodi del genere e se hai serivizi attivi. suppongo che tu abbia qualcosa di attivo...
anche il server che usi per stampare può essere attaccato, cups ad esempio ha due vulnerabilità fresche fresche di circa due settimane fa.

ciao!

Originariamente inviato da NA01
mi auguro vivamente che poi le policy di default siano su drop.
o magari la tua distro insieme a un firewall simile distribuisca solo software invulnerabili :D

lanciando iptables -nl ti dà una linea tipo questa


Chain INPUT (policy ACCEPT)

o hai drop al posto di accept?

altrimenti mi sfuggirebbe il motivo di mettere delle regole impostate su accept, sono solo cicli di cpu buttati via....


ciao!

Sta tutto su ACCEPT. Mi sa che ho inventato il primo WaterWall della storia.
Questo significa girare in modo trasparente ... Uhahauauhah
:D

Originariamente inviato da NA01
ha senso se vuoi evitare episodi del genere e se hai serivizi attivi. suppongo che tu abbia qualcosa di attivo...
anche il server che usi per stampare può essere attaccato, cups ad esempio ha due vulnerabilità fresche fresche di circa due settimane fa.

ciao!

Ok. Allora passo allo studio. Quando si impara qualcosa va sempre bene.
Poi casomai ti ripostero' che cosa ho combinato...

Qualcosa per imparare a capire l'output di tcpdump esiste? Basta la documentazione di tcpdump da sola?

Thx!!!

Originariamente inviato da ilsensine
Invece dovresti. Scoprirai che ci sono modi per rimandare al mittente la propria spazzatura :D
come? ho cercato in modo non proprio approfondito vista la mancanza di tempo e non ho trovato molto su come "rimandare al mittente"... sono solo riuscito a bloccare i ping e i vari tentativi di connessione....

man iptables

MIRROR
This is an experimental demonstration target which inverts
the source and destination fields in the IP header and
retransmits the packet. It is only valid in the INPUT,
FORWARD and PREROUTING chains, and user-defined chains
which are only called from those chains. Note that the
outgoing packets are NOT seen by any packet filtering
chains, connection tracking or NAT, to avoid loops and
other problems.

Allora ho monitorato i pacchetti dell'attaccante beota:


00:42:04.313137 IP 198.108.228.26 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.383125 IP 198.108.228.143 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.453061 IP 198.108.228.20 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.518086 IP 198.108.228.19 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.643039 IP 198.108.229.247 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.723071 IP 198.181.237.35 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.798014 IP 198.108.229.227 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.871039 IP 198.181.237.56 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.952992 IP 198.108.231.233 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.018024 IP 198.108.231.82 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.077977 IP 198.181.237.9 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.137993 IP 199.46.233.3 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.470919 IP 199.2.219.15 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.541920 IP 199.46.233.14 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.626930 IP 198.181.237.12 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.712910 IP 199.46.233.26 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.773863 IP 199.46.233.15 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.853863 IP 200.43.93.3 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.933849 IP 200.105.230.211 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:06.023870 IP 200.24.215.102 > 151.80.19.38: icmp 360: echo reply seq 0


Successivamente dopo un po i pacchetti sono diventati cosi':


00:44:24.127983 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64897+ PTR? 3.233.46.199.in-addr.arpa. (43)
00:44:24.406826 IP 198.108.229.198 > 151.80.19.38: icmp 360: echo reply seq 0
00:44:29.128051 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64897+ PTR? 3.233.46.199.in-addr.arpa. (43)
00:44:34.128842 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64898+ PTR? 15.219.2.199.in-addr.arpa. (43)
00:44:34.867905 IP 200.242.29.40 > 151.80.19.38: icmp 360: echo reply seq 0
00:44:39.128542 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64898+ PTR? 15.219.2.199.in-addr.arpa. (43)
00:44:44.129373 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64899+ PTR? 14.233.46.199.in-addr.arpa. (44)
00:44:49.129007 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64899+ PTR? 14.233.46.199.in-addr.arpa. (44)
00:44:54.129804 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64900+ PTR? 12.237.181.198.in-addr.arpa. (45)
00:44:54.145308 IP 202.35.250.255 > 151.80.19.38: icmp 360: echo reply seq 0
00:44:59.129513 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64900+ PTR? 12.237.181.198.in-addr.arpa. (45)
00:45:04.130284 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64901+ PTR? 26.233.46.199.in-addr.arpa. (44)
00:45:04.161767 IP 200.105.134.151 > 151.80.19.38: icmp 360: echo reply seq 0


Premetto che ho attivato anche l'icm_ignore_all come mi era stato suggerito, ma niente. Cado lo stesso e non posso piu' navigare.

Vista la natura dei pacchetti, riuscite a capire di che attacco e'?
Si puo' fare qualcosa con il firewall? Purtroppo ho poco tempo per leggere in questo periodo... :(

Originariamente inviato da mjordan
Allora ho monitorato i pacchetti dell'attaccante beota:


00:42:04.313137 IP 198.108.228.26 > 151.80.19.38: icmp 360: echo reply seq 0
...

Strano. Tutti echo reply, ma nessun echo request da parte tua.
Comunque non mi sembra un traffico tale da generare un DoS, dovresti reggere bene 10 icmp al secondo.
Inoltre l'ip sorgenre è sempre diverso: escludendo che l'attaccante abbia scomodato decine di computer per romperti le scatole, potrebbe trattarsi di icmp creati "ad arte".
Gurutech qualche idea?


Successivamente dopo un po i pacchetti sono diventati cosi':

Sembra traffico normale, mischiato a qualche "echo reply".

Originariamente inviato da gurutech

MIRROR

...

Più che il mirror, intendevo qualcosa di più divertente tipo questo:
iptables -t nat -A PREROUTING -s <ip del lamer> -j SNAT --to-destination <ip del lamer>
iptables -t nat -A POSTROUTING -s <ip del lamer> -j MASQUERADE
:D

errata corrige
Originariamente inviato da ilsensine
Più che il mirror, intendevo qualcosa di più divertente tipo questo:
iptables -t nat -A PREROUTING -s <ip del lamer> -j SNAT --to-destination <ip del lamer>
iptables -t nat -A POSTROUTING -s <ip del lamer> -j MASQUERADE
:D
...che è equivalente al MIRROR, applicato alla catena di INPUT :muro:
(lo applicavo a PREROUTING, ma lì non mi funzionava :muro: )

Potrebbe essere uno di quei "simpaticoni" che si divertono a collezionare shell e bot per poi fare spam/flood e fare takeover. Su IRCNet e reti simili pare sia diventato uno sport ormai :rolleyes: Non è raro trovare gente con 2 o 3 cento account su shell diverse, uno volta che ha trovato il tuo ip fa presto a floddarti.

hai provato a settare mode +x al tuo nick ? se il server lo supporta dovrebbe nascondere parte del tuo indirizzo ip. altrimenti puoi provare con ipv6 o vedere se riesci a mettere su un vhost. Pero non chiedermi come fare perchè io non l'ho mai fatto :D

ciao ;)

Originariamente inviato da VICIUS
Potrebbe essere uno di quei "simpaticoni" che si divertono a collezionare shell e bot per poi fare spam/flood e fare takeover. Su IRCNet e reti simili pare sia diventato uno sport ormai :rolleyes: Non è raro trovare gente con 2 o 3 cento account su shell diverse, uno volta che ha trovato il tuo ip fa presto a floddarti.

hai provato a settare mode +x al tuo nick ? se il server lo supporta dovrebbe nascondere parte del tuo indirizzo ip. altrimenti puoi provare con ipv6 o vedere se riesci a mettere su un vhost. Pero non chiedermi come fare perchè io non l'ho mai fatto :D

ciao ;)
eh il problema è anche questo... spesso si usano le broadcast per fare questi tipi di attacchi (smurf o dos) e poi spesso si usano i bnc per evitare di essere attaccati (io che frequento irc[far-west]net ne sono provvisto, di bnc ovviamente)... se puo' essere utile, ho fatto una guida su come fare vhost con ipv6 a questo (http://nalug.interferenza.net/?q=taxonomy/page/or/25) link...

ciao

per filtrare i ping una soluzione valida è questa:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP

in questo modo tu puoi pingare una macchina ma gli altri non possono pingare te. inoltre lasci aperti gli altri protocolli ICMP, cosa altamente consigliata (se li hanno inventati qualcosa faranno no? oppure fai come me finchè non :mc: quando incontri PMTU, così impari a tue spese)