|
|||||||
|
|
|
![]() |
|
|
Strumenti |
|
|
#1 |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Maledetti attacchi DoS ...
Scrivo per raccontarvi una situazione che mi e' successa.
Ieri sera stavo scaricando una libreria di cui ho bisogno e nello stesso tempo stavo facendo una chiacchierata su IRC con mio fratello, tanto per ingannare il tempo durante l'attesa. Ero sotto KDE. In genere monitoro l'attivita' di rete con KTrayNetworker, tanto perche' mi piace avere quei due fulmini che si illuminano quando il modem invia e riceve dati. Ad un certo punto noto che l'indicatore della ricezione si blocca (cioe' comincia a scaricare pacchetti alla velocita' della luce) mentre l'indicatore dell'invio si ferma completamente. Il download si blocca completamente. Non e + possibile effettuare la risoluzione di qualsiasi host. Il client IRC non riesce + a spedire un pong al server IRC e la mia connessione a IRC cade inesorabilmente (PING TIMEOUT). Allora stacco la connessione, attivo nel server l'opzione TCP SYN Cookies e riavvio. Mi ricollego nuovamente. Stessa storia. Il tizio mi aveva preso di mira. Ora mi domando: Possibile che nel 2005 alle porte si possa ancora fare questi giochini? Non c'e' un modo per proteggersi? I servizi sono tutti disabilitati, il firewall e' attivo, anche se con regole di default... Certo, se dovessi mettermi a capire come scrivere le rules di netfilter siamo a cavallo... Qualcuno sa che tipologia di attacco potrebbe essere? Grazie per la risposta. |
|
|
|
|
|
#2 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Turin
Messaggi: 746
|
bhe potresti impostare di evitare di rispondere ai ping...
e poi scusa ? ma hai l'ip fisso ?... echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all a questo punto.. se hai l'ip fisso.. allora ti conviene proprio studiarti o almeno cercare una configurazione per iptables contro gli attacchi dos... per quanto riguarda il tipo di attacco per quello che ho capito potrebbero essere molte cose.. cmq un flood.. ma difficile capire di che genere... prova al max a fare #tcpdump -i ppp0 (o tua connessione) > log.txt mentre ti stanno attaccando.. in modo da creare un log dei pacchetti che ti arrivano..
__________________
LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::. |
|
|
|
|
|
#3 |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Innanzitutto grazie per la risposta.
No non ho un IP fisso. Ma il problema non e' tanto il tizio, quanto la liberta' di mantenere il mio nick senza aver paura che ogni volta debba arrivare qualcuno a frantumarmi le balle con questi giochini da bambino frustrato. Comunque' provero' i tuoi consigli. Poi ti faro' sapere. Mi tocca ad andare pure a riacchiappare i bambini per IRC |
|
|
|
|
|
#4 | ||
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Re: Maledetti attacchi DoS ...
Quote:
Quote:
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
||
|
|
|
|
|
#5 |
|
Senior Member
Iscritto dal: Jun 2003
Città: Genova
Messaggi: 5676
|
uh che bello!
sembra di essere ai tempi delle lamerate con i vari nuke posta iptables -nL così vediamo che regole hai attivato ciao |
|
|
|
|
|
#6 | |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Re: Re: Maledetti attacchi DoS ...
Quote:
|
|
|
|
|
|
|
#7 |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Qualcuno e' cosi' gentile da postarmi una fonte di informazione completa per iptables? Grazie...
Qualsiasi dimensione, purche' comprensibile. |
|
|
|
|
|
#8 | ||
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Quote:
Quote:
|
||
|
|
|
|
|
#9 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 11471
|
Quote:
ciao |
|
|
|
|
|
|
#10 | |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Quote:
Versione PS: http://iptables-tutorial.frozentux.n...tutorial.ps.gz Ma a questo punto mi domando: Ha senso settare un firewall su una machina stand alone con connessione PPP? |
|
|
|
|
|
|
#11 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: Genova
Messaggi: 5676
|
Quote:
o magari la tua distro insieme a un firewall simile distribuisca solo software invulnerabili lanciando iptables -nl ti dà una linea tipo questa Codice:
Chain INPUT (policy ACCEPT) altrimenti mi sfuggirebbe il motivo di mettere delle regole impostate su accept, sono solo cicli di cpu buttati via.... ciao! |
|
|
|
|
|
|
#12 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: Genova
Messaggi: 5676
|
Quote:
anche il server che usi per stampare può essere attaccato, cups ad esempio ha due vulnerabilità fresche fresche di circa due settimane fa. ciao! |
|
|
|
|
|
|
#13 | |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Quote:
Questo significa girare in modo trasparente ... Uhahauauhah |
|
|
|
|
|
|
#14 | |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Quote:
Poi casomai ti ripostero' che cosa ho combinato... |
|
|
|
|
|
|
#15 |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Qualcosa per imparare a capire l'output di tcpdump esiste? Basta la documentazione di tcpdump da sola?
Thx!!! |
|
|
|
|
|
#16 | |
|
Senior Member
Iscritto dal: Jan 2001
Messaggi: 2289
|
Re: Re: Maledetti attacchi DoS ...
Quote:
__________________
FreeBSD, OpenBSD and GNU/Linux User Free Software Foundation Associate Member proudly member of poco-serio™ team! nella foto son quello simpatico... l'altro e' |Stan| |
|
|
|
|
|
|
#17 | |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
Quote:
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
|
|
#18 |
|
Bannato
Iscritto dal: Mar 2002
Città: Pescara - 未婚・恋人なし Moto: Honda CBR 1000 RR Casco: XR1000 Diabolic 3
Messaggi: 27578
|
Allora ho monitorato i pacchetti dell'attaccante beota:
Codice:
00:42:04.313137 IP 198.108.228.26 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.383125 IP 198.108.228.143 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.453061 IP 198.108.228.20 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.518086 IP 198.108.228.19 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.643039 IP 198.108.229.247 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.723071 IP 198.181.237.35 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.798014 IP 198.108.229.227 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.871039 IP 198.181.237.56 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:04.952992 IP 198.108.231.233 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.018024 IP 198.108.231.82 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.077977 IP 198.181.237.9 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.137993 IP 199.46.233.3 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.470919 IP 199.2.219.15 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.541920 IP 199.46.233.14 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.626930 IP 198.181.237.12 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.712910 IP 199.46.233.26 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.773863 IP 199.46.233.15 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.853863 IP 200.43.93.3 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:05.933849 IP 200.105.230.211 > 151.80.19.38: icmp 360: echo reply seq 0 00:42:06.023870 IP 200.24.215.102 > 151.80.19.38: icmp 360: echo reply seq 0 Codice:
00:44:24.127983 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64897+ PTR? 3.233.46.199.in-addr.arpa. (43) 00:44:24.406826 IP 198.108.229.198 > 151.80.19.38: icmp 360: echo reply seq 0 00:44:29.128051 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64897+ PTR? 3.233.46.199.in-addr.arpa. (43) 00:44:34.128842 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64898+ PTR? 15.219.2.199.in-addr.arpa. (43) 00:44:34.867905 IP 200.242.29.40 > 151.80.19.38: icmp 360: echo reply seq 0 00:44:39.128542 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64898+ PTR? 15.219.2.199.in-addr.arpa. (43) 00:44:44.129373 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64899+ PTR? 14.233.46.199.in-addr.arpa. (44) 00:44:49.129007 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64899+ PTR? 14.233.46.199.in-addr.arpa. (44) 00:44:54.129804 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64900+ PTR? 12.237.181.198.in-addr.arpa. (45) 00:44:54.145308 IP 202.35.250.255 > 151.80.19.38: icmp 360: echo reply seq 0 00:44:59.129513 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64900+ PTR? 12.237.181.198.in-addr.arpa. (45) 00:45:04.130284 IP 151.80.19.38.32768 > dns.interbusiness.it.domain: 64901+ PTR? 26.233.46.199.in-addr.arpa. (44) 00:45:04.161767 IP 200.105.134.151 > 151.80.19.38: icmp 360: echo reply seq 0 Vista la natura dei pacchetti, riuscite a capire di che attacco e'? Si puo' fare qualcosa con il firewall? Purtroppo ho poco tempo per leggere in questo periodo... |
|
|
|
|
|
#19 | ||
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Quote:
Comunque non mi sembra un traffico tale da generare un DoS, dovresti reggere bene 10 icmp al secondo. Inoltre l'ip sorgenre è sempre diverso: escludendo che l'attaccante abbia scomodato decine di computer per romperti le scatole, potrebbe trattarsi di icmp creati "ad arte". Gurutech qualche idea? Quote:
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
||
|
|
|
|
|
#20 | |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Quote:
iptables -t nat -A PREROUTING -s <ip del lamer> -j SNAT --to-destination <ip del lamer> iptables -t nat -A POSTROUTING -s <ip del lamer> -j MASQUERADE
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:10.



















