Maledetti attacchi DoS ...

[mjordan]

Scrivo per raccontarvi una situazione che mi e' successa.
Ieri sera stavo scaricando una libreria di cui ho bisogno e nello stesso tempo stavo facendo una chiacchierata su IRC con mio fratello, tanto per ingannare il tempo durante l'attesa.

Ero sotto KDE. In genere monitoro l'attivita' di rete con KTrayNetworker, tanto perche' mi piace avere quei due fulmini che si illuminano quando il modem invia e riceve dati.

Ad un certo punto noto che l'indicatore della ricezione si blocca (cioe' comincia a scaricare pacchetti alla velocita' della luce) mentre l'indicatore dell'invio si ferma completamente.

Il download si blocca completamente. Non e + possibile effettuare la risoluzione di qualsiasi host. Il client IRC non riesce + a spedire un pong al server IRC e la mia connessione a IRC cade inesorabilmente (PING TIMEOUT).

Allora stacco la connessione, attivo nel server l'opzione TCP SYN Cookies e riavvio. Mi ricollego nuovamente. Stessa storia. Il tizio mi aveva preso di mira.

Ora mi domando:
Possibile che nel 2005 alle porte si possa ancora fare questi giochini?
Non c'e' un modo per proteggersi?

I servizi sono tutti disabilitati, il firewall e' attivo, anche se con regole di default... Certo, se dovessi mettermi a capire come scrivere le rules di netfilter siamo a cavallo...

Qualcuno sa che tipologia di attacco potrebbe essere?

Grazie per la risposta.

[bort_83]

bhe potresti impostare di evitare di rispondere ai ping...

e poi scusa ? ma hai l'ip fisso ?...

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

a questo punto.. se hai l'ip fisso.. allora ti conviene proprio studiarti o almeno cercare una configurazione per iptables contro gli attacchi dos...

per quanto riguarda il tipo di attacco per quello che ho capito potrebbero essere molte cose..

cmq un flood.. ma difficile capire di che genere...

prova al max a fare

#tcpdump -i ppp0 (o tua connessione) > log.txt

mentre ti stanno attaccando..

in modo da creare un log dei pacchetti che ti arrivano..

[mjordan]

Innanzitutto grazie per la risposta.

No non ho un IP fisso. Ma il problema non e' tanto il tizio, quanto la liberta' di mantenere il mio nick senza aver paura che ogni volta debba arrivare qualcuno a frantumarmi le balle con questi giochini da bambino frustrato.

Comunque' provero' i tuoi consigli. Poi ti faro' sapere.
Mi tocca ad andare pure a riacchiappare i bambini per IRC

[ilsensine]

Quote:

Originariamente inviato da mjordan
Qualcuno sa che tipologia di attacco potrebbe essere?

Dovresti dare una occhiata ai log del firewall. Sicuramente ci sono tracce.

Quote:

Certo, se dovessi mettermi a capire come scrivere le rules di netfilter siamo a cavallo...

Invece dovresti. Scoprirai che ci sono modi per rimandare al mittente la propria spazzatura

[NA01]

uh che bello!
sembra di essere ai tempi delle lamerate con i vari nuke

posta
iptables -nL

così vediamo che regole hai attivato


ciao

[mjordan]

Quote:

Originariamente inviato da ilsensine
Dovresti dare una occhiata ai log del firewall. Sicuramente ci sono tracce.

Invece dovresti. Scoprirai che ci sono modi per rimandare al mittente la propria spazzatura

Vedi, queste sono le cose vere, quelle autentiche, che potrebbero rendermi capace di leggere libri da migliaia di pagine

[mjordan]

Qualcuno e' cosi' gentile da postarmi una fonte di informazione completa per iptables? Grazie...

Qualsiasi dimensione, purche' comprensibile.

[mjordan]

Quote:

Originariamente inviato da NA01
uh che bello!
sembra di essere ai tempi delle lamerate con i vari nuke

Appunto parlavo delle soglie del 2005 ...

Quote:

posta
iptables -nL

così vediamo che regole hai attivato

Guarda non sono un esperto di iptables, ma non serve molta conoscenza per capire che significa tre parole affilate tutte uguali "accept".

[VICIUS]

Quote:

Originariamente inviato da mjordan
Qualcuno e' cosi' gentile da postarmi una fonte di informazione completa per iptables? Grazie...

Qualsiasi dimensione, purche' comprensibile.

Questo è olto completo. http://iptables-tutorial.frozentux.n...-tutorial.html

ciao

[mjordan]

Quote:

Originariamente inviato da VICIUS
Questo è olto completo. http://iptables-tutorial.frozentux.n...-tutorial.html

ciao

Incredibile! Ero tornato per postare il tut che avevo trovato io!
Versione PS:

http://iptables-tutorial.frozentux.n...tutorial.ps.gz

Ma a questo punto mi domando:
Ha senso settare un firewall su una machina stand alone con connessione PPP?

[NA01]

Quote:

Originariamente inviato da mjordan
Guarda non sono un esperto di iptables, ma non serve molta conoscenza per capire che significa tre parole affilate tutte uguali "accept".

mi auguro vivamente che poi le policy di default siano su drop.
o magari la tua distro insieme a un firewall simile distribuisca solo software invulnerabili

lanciando iptables -nl ti dà una linea tipo questa

Codice:

Chain INPUT (policy ACCEPT)

o hai drop al posto di accept?

altrimenti mi sfuggirebbe il motivo di mettere delle regole impostate su accept, sono solo cicli di cpu buttati via....


ciao!

[NA01]

Quote:

Originariamente inviato da mjordan
Ma a questo punto mi domando:
Ha senso settare un firewall su una machina stand alone con connessione PPP?

ha senso se vuoi evitare episodi del genere e se hai serivizi attivi. suppongo che tu abbia qualcosa di attivo...
anche il server che usi per stampare può essere attaccato, cups ad esempio ha due vulnerabilità fresche fresche di circa due settimane fa.

ciao!

[mjordan]

Quote:

Originariamente inviato da NA01
mi auguro vivamente che poi le policy di default siano su drop.
o magari la tua distro insieme a un firewall simile distribuisca solo software invulnerabili

lanciando iptables -nl ti dà una linea tipo questa

Codice:

Chain INPUT (policy ACCEPT)

o hai drop al posto di accept?

altrimenti mi sfuggirebbe il motivo di mettere delle regole impostate su accept, sono solo cicli di cpu buttati via....


ciao!

Sta tutto su ACCEPT. Mi sa che ho inventato il primo WaterWall della storia.
Questo significa girare in modo trasparente ... Uhahauauhah

[mjordan]

Quote:

Originariamente inviato da NA01
ha senso se vuoi evitare episodi del genere e se hai serivizi attivi. suppongo che tu abbia qualcosa di attivo...
anche il server che usi per stampare può essere attaccato, cups ad esempio ha due vulnerabilità fresche fresche di circa due settimane fa.

ciao!

Ok. Allora passo allo studio. Quando si impara qualcosa va sempre bene.
Poi casomai ti ripostero' che cosa ho combinato...

[mjordan]

Qualcosa per imparare a capire l'output di tcpdump esiste? Basta la documentazione di tcpdump da sola?

Thx!!!

[eclissi83]

Quote:

Originariamente inviato da ilsensine
Invece dovresti. Scoprirai che ci sono modi per rimandare al mittente la propria spazzatura

come? ho cercato in modo non proprio approfondito vista la mancanza di tempo e non ho trovato molto su come "rimandare al mittente"... sono solo riuscito a bloccare i ping e i vari tentativi di connessione....

[gurutech]

Quote:

man iptables

Codice:

   MIRROR
       This is an experimental demonstration target which inverts
       the  source  and  destination  fields in the IP header and
       retransmits the packet.  It is only valid  in  the  INPUT,
       FORWARD  and  PREROUTING  chains,  and user-defined chains
       which are only called from those chains.   Note  that  the
       outgoing  packets  are  NOT  seen  by any packet filtering
       chains, connection tracking or NAT,  to  avoid  loops  and
       other problems.

[mjordan]

Allora ho monitorato i pacchetti dell'attaccante beota:

Codice:

00:42:04.313137 IP 198.108.228.26 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.383125 IP 198.108.228.143 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.453061 IP 198.108.228.20 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.518086 IP 198.108.228.19 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.643039 IP 198.108.229.247 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.723071 IP 198.181.237.35 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.798014 IP 198.108.229.227 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.871039 IP 198.181.237.56 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:04.952992 IP 198.108.231.233 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.018024 IP 198.108.231.82 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.077977 IP 198.181.237.9 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.137993 IP 199.46.233.3 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.470919 IP 199.2.219.15 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.541920 IP 199.46.233.14 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.626930 IP 198.181.237.12 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.712910 IP 199.46.233.26 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.773863 IP 199.46.233.15 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.853863 IP 200.43.93.3 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:05.933849 IP 200.105.230.211 > 151.80.19.38: icmp 360: echo reply seq 0
00:42:06.023870 IP 200.24.215.102 > 151.80.19.38: icmp 360: echo reply seq 0

Successivamente dopo un po i pacchetti sono diventati cosi':

Codice:

00:44:24.127983 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64897+ PTR? 3.233.46.199.in-addr.arpa. (43)
00:44:24.406826 IP 198.108.229.198 > 151.80.19.38: icmp 360: echo reply seq 0
00:44:29.128051 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64897+ PTR? 3.233.46.199.in-addr.arpa. (43)
00:44:34.128842 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64898+ PTR? 15.219.2.199.in-addr.arpa. (43)
00:44:34.867905 IP 200.242.29.40 > 151.80.19.38: icmp 360: echo reply seq 0
00:44:39.128542 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64898+ PTR? 15.219.2.199.in-addr.arpa. (43)
00:44:44.129373 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64899+ PTR? 14.233.46.199.in-addr.arpa. (44)
00:44:49.129007 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64899+ PTR? 14.233.46.199.in-addr.arpa. (44)
00:44:54.129804 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64900+ PTR? 12.237.181.198.in-addr.arpa. (45)
00:44:54.145308 IP 202.35.250.255 > 151.80.19.38: icmp 360: echo reply seq 0
00:44:59.129513 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64900+ PTR? 12.237.181.198.in-addr.arpa. (45)
00:45:04.130284 IP 151.80.19.38.32768 > dns.interbusiness.it.domain:  64901+ PTR? 26.233.46.199.in-addr.arpa. (44)
00:45:04.161767 IP 200.105.134.151 > 151.80.19.38: icmp 360: echo reply seq 0

Premetto che ho attivato anche l'icm_ignore_all come mi era stato suggerito, ma niente. Cado lo stesso e non posso piu' navigare.

Vista la natura dei pacchetti, riuscite a capire di che attacco e'?
Si puo' fare qualcosa con il firewall? Purtroppo ho poco tempo per leggere in questo periodo...

[ilsensine]

Quote:

Originariamente inviato da mjordan
Allora ho monitorato i pacchetti dell'attaccante beota:

Codice:

00:42:04.313137 IP 198.108.228.26 > 151.80.19.38: icmp 360: echo reply seq 0
...

Strano. Tutti echo reply, ma nessun echo request da parte tua.
Comunque non mi sembra un traffico tale da generare un DoS, dovresti reggere bene 10 icmp al secondo.
Inoltre l'ip sorgenre è sempre diverso: escludendo che l'attaccante abbia scomodato decine di computer per romperti le scatole, potrebbe trattarsi di icmp creati "ad arte".
Gurutech qualche idea?

Quote:

Successivamente dopo un po i pacchetti sono diventati cosi':

Sembra traffico normale, mischiato a qualche "echo reply".

[ilsensine]

Quote:

Originariamente inviato da gurutech

MIRROR

...

Più che il mirror, intendevo qualcosa di più divertente tipo questo:
iptables -t nat -A PREROUTING -s <ip del lamer> -j SNAT --to-destination <ip del lamer>
iptables -t nat -A POSTROUTING -s <ip del lamer> -j MASQUERADE