Attacchi DOS

[btax]

Ciao a tutti, spero di aver postato nella sezione giusta perchè la mia domanda riguarda la sicurezza ma li non riuscivo a postare.

Allora, possiedo un router Netgear DG834G oppurtunamente configurato e quasi giornalmente nei log trovo tentativi di attacchi DOS.

Ho cercato la locazione degli ip da cui provengono gli attacchi e quasi tutti si trovano in Cina.
Inoltre quasi tutti gli attacchi sono rivolti alla porta UDP 4672 (aMule).

Devo preoccuparmi?

Qualcuno ha idea del perchè accada questo?

Grazie per gli eventuali suggerimenti....

ciao

[tutmosi3]

C'è qualcuno che si vuole divertire.
Ma potrebbe anche essere una macchina zombie.

L'IP è sempre lo stesso?

Ciao

[OUTATIME]

E' comunque buona norma cambiare le porte di emule dallo standard...

[tutmosi3]

Come si sa non sono un gran utilizzatore di reti P2P, nella fattispecie non uso Emule dalla caduta dei Razorback.
Mi pareva che nelle ultime release, Emule prendesse una porta random; sbaglio?

Ciao

[OUTATIME]

Quote:

Originariamente inviato da tutmosi3

Come si sa non sono un gran utilizzatore di reti P2P, nella fattispecie non uso Emule dalla caduta dei Razorback.
Mi pareva che nelle ultime release, Emule prendesse una porta random; sbaglio?

Ciao

Non so... io le cambio senza neanche leggerle...

[btax]

Quote:

L'IP è sempre lo stesso?

allora, su 6 attacchi rilevati dal router
2 provengono dallo stesso ip e 4 da ip differenti.

i 2 dello stesso ip erano rivolti alla porta 7050 mentre i 4 differenti alla 4672.

La cosa strana è che, dei 6 attacchi, 5 provengono dalla Cina e 1 da Singapore.....

Ma in pratica questi simpaticoni (se la cosa è voluta di proposito) che fanno per fare un attacco DoS?

E che conseguenze potrebbe avere?

Altra domanda, se il router li rileva posso dormire tranquillo?

Grazie ancora delle risposte...

[tutmosi3]

Allora per precisare gli attacchi sarebbero DDOS, cioè Distributed Denial of Services.
In pratica quei tipi asiatici tentano di mandare al web server di Amule una enorme quantità di richieste in modo da saturare le risorse in breve tempo e rendere il sistema instabile.

Le cose che non ho ben capito sono:

1. Usi il web server di Amule?
2. Se si, lo usi da LAN o WAN?
3. Se lo usi da WAN, significa che hai fatto un port forwarding della 4672. Il che ti rende potenzialmente vulnerabile ma a quanto ho capito non lamenti problemi.

Ciao

[btax]

Quote:

Originariamente inviato da tutmosi3

Allora per precisare gli attacchi sarebbero DDOS, cioè Distributed Denial of Services.
In pratica quei tipi asiatici tentano di mandare al web server di Amule una enorme quantità di richieste in modo da saturare le risorse in breve tempo e rendere il sistema instabile.

Le cose che non ho ben capito sono:

1. Usi il web server di Amule?
2. Se si, lo usi da LAN o WAN?
3. Se lo usi da WAN, significa che hai fatto un port forwarding della 4672. Il che ti rende potenzialmente vulnerabile ma a quanto ho capito non lamenti problemi.

Ciao

Grazie ancora della risposta.

Si uso il webserver di amule in quanto ho attivo solo il demone (amuled) e lo gestisco via browser.
Lo gestisco sia da LAN che da WAN e in effetti ho fatto il forwarding della 4672 dal router verso la macchina con amule.

Però, il webserver di amule se non sbaglio lavora sulla porta 4711 (quella di default) mentre la 4672 UDP serve per il funzionamento di amule (insieme alla 4662 TCP)...no?

Ho appena notato che, collegandomi al pc in questione via ssh, era stralento...del tipo che digitavo i comandi e dovevo attendere qualche secondo per vederli a video. Ho killato amule e ha ripreso subito a funzionare normalmente (cioè appena digitavo comparivano a video i comandi subito).....
può dipendere da un attacco DoS???

[tutmosi3]

Ricordo che le porte standard di Emule erano 4711 e 4662 ma non ricordo quale delle 2 era il web server.

Il fatto che tu abbia riscontrato un rallentamento tramite SSH (notoriamente una scheggia perchè senza GUI) mi fa pensare che il DDOS fosse in pieno svolgimento.

Quando hai dato il kill i tuoi amici asiatici sono rimasti senza bersaglio.

Prova spostare le porte.


Ciao

[btax]

Allora alcune ore fa ho disattivato immediatamente il forwarding delle porte sul router per vedere se la situazione cambiava. E, per adesso, è stato proprio così.

Premetto che il server-amule l'ho attivato ieri sera, quindi in meno di 24 ore sono arrivato una decina di attacchi DDoS. L'ho disattivato oggi pomeriggio e finora non ha più rilevato attacchi.

Ne deduco che, il bersaglio fosse stata proprio la porta 4672 di amule. E sono stati attacchi volontari perchè disattivandola non è cambiato bersaglio ma sono cessati.

Ora terrò la cosa sott'occhio fino a domani e se tutto rimarrà tranquillo proverò a cambiare le porte di amule.

Perdonatemi ma mi sorgono alcune domande....

Se io cambio porta (per amule) e ne prendo una a caso, non è che con una scansione mirata venga rilevata la porta aperta e la storia si possa ripetere con un bersaglio diverso?

Perchè qualcuno possa fare un attacco DDoS è necessario che, oltre al forwarding della porta (supponiamo la 4672) sul router, sia anche attivo il servizio (nel caso amule sulla macchina verso la quale punta il forwarding)??? Oppure se è attivo il forwarding ma non il servizio sulla porta non è possibile fare un attacco DDoS??

Ultima domanda...verso che generi di porte/servizi è possibile fare un attacco DDoS??? Cioè perchè proprio la 4672 di amule e non la 22 di ssh?

@tutmosi3: le porte standard di amule sono TCP 4662 e UDP 4672. Webserver di amule 4711....

Grazie ancora ragazzi...buona serata....

[tutmosi3]

Quote:

Originariamente inviato da btax

Allora alcune ore fa ho disattivato immediatamente il forwarding delle porte sul router per vedere se la situazione cambiava. E, per adesso, è stato proprio così.

Direi che era proprio un attacco DDOS

Quote:

Originariamente inviato da btax

Premetto che il server-amule l'ho attivato ieri sera, quindi in meno di 24 ore sono arrivato una decina di attacchi DDoS. L'ho disattivato oggi pomeriggio e finora non ha più rilevato attacchi.

Ne deduco che, il bersaglio fosse stata proprio la porta 4672 di amule. E sono stati attacchi volontari perchè disattivandola non è cambiato bersaglio ma sono cessati.

In realtà non è detto che fossero attacchi proprio del tutto volontari, nel senso che non è detto che ci fosse il rompib@lle asiatico davanti al PC con te come bersaglio.
Molto spesso le macchine zobie prese in ostaggi dai lamer hanno anche dei programi di verifica delle prote che vengono lanciati ad intervalli regolari o controllano che il DDOS sia andato. Non mi dilungo sulle tecniche usate perchè in certi casi molro complesse e probabilmente fuori regolamento ma se entro un tempo X (fissato dal lamerozzo di turno) il bersaglio non è più raggiungibile, esso viene sostituito.

Quote:

Originariamente inviato da btax

Ora terrò la cosa sott'occhio fino a domani e se tutto rimarrà tranquillo proverò a cambiare le porte di amule.

Perdonatemi ma mi sorgono alcune domande....

Se io cambio porta (per amule) e ne prendo una a caso, non è che con una scansione mirata venga rilevata la porta aperta e la storia si possa ripetere con un bersaglio diverso?

Purtroppo si.
I programmi che fanno la scansione delle porte di un IP sono tanti, quasi tutti gratuiti e molto validi.

Quote:

Originariamente inviato da btax

Perchè qualcuno possa fare un attacco DDoS è necessario che, oltre al forwarding della porta (supponiamo la 4672) sul router, sia anche attivo il servizio (nel caso amule sulla macchina verso la quale punta il forwarding)??? Oppure se è attivo il forwarding ma non il servizio sulla porta non è possibile fare un attacco DDoS??

Stai facendo un ottimo ragionamento.
Amule ha un webserver integarto, posizionato in una porta.
Esso è in ascolto delle richieste che provengono dall'esterno, se queste richieste vengono date esse saranno legittime, se arrivano dai tuoi amici asiatici no.
Se non c'è nessun webserver attivo il lamer made in China non potranno fare nulla.

Quote:

Originariamente inviato da btax

Ultima domanda...verso che generi di porte/servizi è possibile fare un attacco DDoS??? Cioè perchè proprio la 4672 di amule e non la 22 di ssh?

Meno di 50 porte raggrnellano oltre il 90% degli attacchi (non solo DDOS).
La 4672 è una di queste perchè Emule ed i suoi cloni sono programmi molto diffusi.
Linux non è un sistema operativo molto diffuso ed i lamer spartano nei grossi mucchi.

Quote:

Originariamente inviato da btax

@tutmosi3: le porte standard di amule sono TCP 4662 e UDP 4672. Webserver di amule 4711....

Grazie ancora ragazzi...buona serata....

Grazie per la precisazione ma è una questione di poco uso del P2P da parte mia.
Oltretutto non uso Amule (lo avevo su Debian Sarge).

Poi devo anche dire che se una cosa non mi entra, non ci posso fare niente.
Adesso mi ricordo che il webserver di Emule sta di default sulla 4711, tra 10 min sono sicuro che ricomincerò a fare confuxsione con la 4622.

Ciao

[btax]

Rieccomi qui.

Dopo alcuni giorni in cui ho disattivato amuled stamattina l'ho riavviato modificando le porte di default e...ta ta....ho ricevuto un altro attacco DDoS.

La cosa mi suona strana in quanto mi sembra improbabile che ogni volta, dopo un paio d'ore da quando attivo amule, cominciano ad arrivare attachi.

Mi sorge un dubbio...non è che il router interpreta come attacchi i dati di amule in arrivo sulla porta UDP quando in realtà non lo sono? Magari è il router che fornisce una "cattiva" interpretazione dei dati che lui segnala come attacchi DDoS....

Può essere?

Grazie

[tutmosi3]

Quote:

Originariamente inviato da btax

Rieccomi qui.

Dopo alcuni giorni in cui ho disattivato amuled stamattina l'ho riavviato modificando le porte di default e...ta ta....ho ricevuto un altro attacco DDoS.

La cosa mi suona strana in quanto mi sembra improbabile che ogni volta, dopo un paio d'ore da quando attivo amule, cominciano ad arrivare attachi.

Mi sorge un dubbio...non è che il router interpreta come attacchi i dati di amule in arrivo sulla porta UDP quando in realtà non lo sono? Magari è il router che fornisce una "cattiva" interpretazione dei dati che lui segnala come attacchi DDoS....

Può essere?

Grazie

Sarei dubbioso.
Piuttosto propenderei per il fatto che i tuoi amici asiatici hanno continuato a scandagliare un certo range di IP entro i quali ti connettevi.
In questi giori i risultato non saranno stati buoni per loro ma adesso che sei di nuovo online hanno ancora un bersaglio.

Ciao

[OUTATIME]

Quote:

Originariamente inviato da tutmosi3

Sarei dubbioso.
Piuttosto propenderei per il fatto che i tuoi amici asiatici hanno continuato a scandagliare un certo range di IP entro i quali ti connettevi.
In questi giori i risultato non saranno stati buoni per loro ma adesso che sei di nuovo online hanno ancora un bersaglio.

Ciao

Quoto....

Io comunque non mi preoccuperei più di tanto dei log del router....

[btax]

Quote:

Originariamente inviato da OUTATIME

Quoto....

Io comunque non mi preoccuperei più di tanto dei log del router....

Perchè?

Se è un attacco reale vorrei trovare il modo di non essere vulnerabile, se è "cattiva" interpretazione del router allora il discorso cambia.

Mi sono fatto quest idea sull'errata interpretazione del router sui dati diretti alla porta UDP di amuled perchè googlando di qua e di la ho trovato qualche howto sulla configurazione del Netgear DG834G per e/amule in cui si diceva di disattivare l'opzione di rilevazione di attacchi DoS.