Jestem klientem Netii. Moja siec stala sie ostatnio bardzo czesta
ofiara atakow DDoS. Domyslam sie, ze jeden z uzytkownikow komus
podpadl, nie zmienia to faktu, ze jest to bardzo meczace dla
wszystkich. Charakterystyka ataku jest bardzo typowa: ogromny synflood
na port 22, 80 lub 113 ktoregos z hostow, ktory powoduje absolutne
zatkanie lacza. Dzisiaj atak byl szczegolnie mocny, odbil sie silnie
na innych klientach Netii przylaczonych do tego samego access
routera/switcha FR, nie dzialaly nawet lubelskie dial-upy Netii
w tym czasie. Zrodlem ataku jest prawie zawsze kilkaset maszyn
z Polski, wszystkie z systemami Win* lub za NATami, 90% na iDSLach
i Neostradach. Zgloszenia do abuse@ u atakujacych operatorow
praktycznie nie pomagaja, TPSA odeslala typowa odpowiedz, Multimedia
natomiast profilaktycznie zablokowala cale moje /24. Proby zglaszania
ataku do Netii takze nie przynosza rezultatu -- ACLe i shaping nie
moga byc zalozone ze wzgledu na grozbe przeciazenia routerow.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Uzytkownik "Przemyslaw Frasunek" <v...@f...lublin.pl> napisal
w wiadomosci news:86smislluk.fsf@lagoon.freebsd.lublin.pl...
> Jestem klientem Netii. Moja siec stala sie ostatnio bardzo czesta
> ofiara atakow DDoS. Domyslam sie, ze jeden z uzytkownikow komus
> podpadl, nie zmienia to faktu, ze jest to bardzo meczace dla
> wszystkich. Charakterystyka ataku jest bardzo typowa: ogromny synflood
> na port 22, 80 lub 113 ktoregos z hostow, ktory powoduje absolutne
> zatkanie lacza. Dzisiaj atak byl szczegolnie mocny, odbil sie silnie
> na innych klientach Netii przylaczonych do tego samego access
> routera/switcha FR, nie dzialaly nawet lubelskie dial-upy Netii
> w tym czasie. Zrodlem ataku jest prawie zawsze kilkaset maszyn
> z Polski, wszystkie z systemami Win* lub za NATami, 90% na iDSLach
> i Neostradach. Zgloszenia do abuse@ u atakujacych operatorow
> praktycznie nie pomagaja, TPSA odeslala typowa odpowiedz, Multimedia
> natomiast profilaktycznie zablokowala cale moje /24. Proby zglaszania
> ataku do Netii takze nie przynosza rezultatu -- ACLe i shaping nie
> moga byc zalozone ze wzgledu na grozbe przeciazenia routerow.

a nie jest to czesem blester i temu podobne ?
sledzac dzialanie "tego czegos" zauwazylem ze codzien jest zmiana klasy IP
ktore sa atakowane

zauwazylem (obserwuje pare dni) ze ataki sa na porty 113, 6667, 135, 445
44**
mozliwe ze na inne tez
potwierdzaloby to zrodlo tych atakow ... wiadomo Neo + winda + luser = wrog
publiczny nr 1 ...
moze w netii by jednak filtrowali przynajmniej 135 ? albo niech rusza 4
litery, wytna klase 80 i 83 ;-)

--
Adam

do góry

Przemyslaw Frasunek wrote:

> Proby zglaszania ataku do Netii takze nie przynosza
> rezultatu -- ACLe i shaping nie moga byc zalozone ze wzgledu na
> grozbe przeciazenia routerow.

Blackhole'ing po stronie Netii w ramach peeringu BGP (jeśli go masz) -
Polpak i Telenergo podobno nie są w stanie za żadne skarby tego
zrobić, ale może Netia się postara? To tylko dwa proste wpisy w
definicji peera BGP po ich stronie, a z Twojej strony w momencie
ataku dopisanie na swoim routerze robiącym BGP tego hosta jako
"do Null0" z jakimś tagiem.

Przy okazji oni oszczędzą swoją sieć, która tranzytuje tego DDoSa.

--
Łukasz Bromirski lbromirski:mr0vka.eu.org

do góry

On Wed, 7 Jan 2004, Adam wrote:
> a nie jest to czesem blester i temu podobne ?
[...]

Nie sadze aby byl to blaster. Ostatni wsrod polskich DDoS kiddies panuje
moda na tzw. sdboty. Jest to trojan w ktorym ustawia sie swoje haslo oraz
serwer ircd oraz kanal do ktorego ma sie laczyc w celu oczekiwania na
komendy. Z tego co 'widzialem' ma mozliwosc atakowania po udp, icmp oraz
tcp syn. Niestety sam 'walcze' z tym od dluzszego czasu i jest to
przyslowiowa walka z wiatrakami. Wiele razy zdobylem trojana,
zdekodowalem (DDoS kiddies zaczeli kodowac to roznymi pakerami plikow exe,
bo antywiry zaczely to wykrywac) i nic wiecej jak podgladac co robia nie
moglem zrobic. Wydzwanialem do TP S.A. (gdyz wiekszosc atakow pochodzi z
ich sieci), ale Pan odpowiedzial mi tylko "prosze wyslac mi logi, a
dopiszemy sobie adresy IP do naszej 'listy'. Pomine juz fakt, ze wiekszosc
ISP (w tym znana kablowka ACN) w ogole olewa zgloszenia atakow z ich sieci.
Jak dla mnie wyglada to tak, ze jestesmy zdani na laske kiddies oczekujac
az ktos 'z gory' zainteresuje sie tym i zaczna 'scigac' to.

--
Marcin Markowski

do góry

Przemyslaw Frasunek wrote:

> Jestem klientem Netii. Moja siec stala sie ostatnio bardzo czesta
> ofiara atakow DDoS. Domyslam sie, ze jeden z uzytkownikow komus
> podpadl, nie zmienia to faktu, ze jest to bardzo meczace dla
> wszystkich. Charakterystyka ataku jest bardzo typowa: ogromny synflood
> na port 22, 80 lub 113 ktoregos z hostow, ktory powoduje absolutne
> zatkanie lacza. Dzisiaj atak byl szczegolnie mocny, odbil sie silnie
> na innych klientach Netii przylaczonych do tego samego access
> routera/switcha FR, nie dzialaly nawet lubelskie dial-upy Netii
> w tym czasie. Zrodlem ataku jest prawie zawsze kilkaset maszyn
> z Polski, wszystkie z systemami Win* lub za NATami, 90% na iDSLach
> i Neostradach. Zgloszenia do abuse@ u atakujacych operatorow
> praktycznie nie pomagaja, TPSA odeslala typowa odpowiedz, Multimedia
> natomiast profilaktycznie zablokowala cale moje /24. Proby zglaszania
> ataku do Netii takze nie przynosza rezultatu -- ACLe i shaping nie
> moga byc zalozone ze wzgledu na grozbe przeciazenia routerow.
>

to jeszcze i tak dobrze, mnie w tktelekomie jak zDDoSowali to sie cala
siec TKTELEKOMu polozyla. poszlo o bota na ircu. ktos komus przejmowal
kanal. w ciagu godziny tcpdump wygenerowal 300MB logow. wiekszosc hostow
pochodzila z polskich sieci akademickich.

pozdro.

do góry

Łukasz Bromirski <w...@w...goes> napisał(a):

> Blackhole'ing po stronie Netii w ramach peeringu BGP (jeśli go masz)

Nie mam.

> definicji peera BGP po ich stronie, a z Twojej strony w momencie
> ataku dopisanie na swoim routerze robiącym BGP tego hosta jako
> "do Null0" z jakimś tagiem.

Zakladajac, ze nie padnie sesja BGP, a pada wszystko. Podczas
wczorajszego DDoSa na mnie, znajomy mi doniosl, ze chociaz byl
podpiety w innym miejscu lubelskiego szkieletu Netii i obslugiwany
przez inny access router, to u niego takze straty dochodzily do 90%.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

"Adam" <a...@b...net> napisał(a):

> a nie jest to czesem blester i temu podobne ?

Nie, aczkolwiek jest to powiazane z bugiem w RPC. Znalazlem u
siebie w sieci raz maszyne w ten sposob zatrojaniona, wlasnie
synfloodowala jakiegos hosta, siedziala tez na IRCu i nasluchiwala
komend.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Przemyslaw Frasunek wrote:

>>definicji peera BGP po ich stronie, a z Twojej strony w momencie
>>ataku dopisanie na swoim routerze robiącym BGP tego hosta jako
>>"do Null0" z jakimś tagiem.
> Zakladajac, ze nie padnie sesja BGP, a pada wszystko. Podczas
> wczorajszego DDoSa na mnie, znajomy mi doniosl, ze chociaz byl
> podpiety w innym miejscu lubelskiego szkieletu Netii i obslugiwany
> przez inny access router, to u niego takze straty dochodzily do 90%.

I Netii takie sztormy nie obchodzą? Nie chcą nic zrobić żeby temu
zapobiec? Przecież to bardziej ich powinno obchodzić niż Ciebie...

--
Łukasz Bromirski lbromirski:mr0vka,eu,org

do góry

Łukasz Bromirski <w...@w...goes> napisał(a):

> I Netii takie sztormy nie obchodzą? Nie chcą nic zrobić żeby temu
> zapobiec? Przecież to bardziej ich powinno obchodzić niż Ciebie...

Ja mam kontakt tylko z helpdeskiem Netii -- zglaszam problem, prosze o
blackholing czy ACL na dane IP docelowe i po pol godziny oddzwania
helpdesk, z informacja ze administratorzy nie moga tego zrobic. Akurat
wczorajszy przypadek po raz pierwszy zdestabilizowal tak prace calej
lubelskiej Netii, ale mimo to nikt nic nie zrobil. Przez swieta mialem
takie DDoSa praktycznie co 1-2 dni, wysylalem maile do NASKowego CERTu
(bez rezultatu, bo przez cale swieta nie dzialalo SMTP na cert.pl),
zglaszalem do wszystkich abuse'ow sieci, z ktorych szly ataki:

To: abuse#telekomunikacja.pl, abuse#inetia.pl, abuse#swiat.pl,
abuse#man.lodz.pl, abuse#tktelekom.pl, rastlin#lazir.toya.net.pl,
abuse#pro-futuro.com, abuse#dialogok.pl, abuse#telenergo.pl,
abuse#multimedia.pl, cert#cert.pl

Wowczas atakowala mnie mniejsza pula niz wczoraj:

195.117.222.33
195.205.112.2
195.205.184.252
212.122.206.41
212.160.102.2
212.244.255.3
212.51.207.146
213.199.250.106
213.241.23.50
213.25.138.237
217.113.228.36
217.96.203.65
217.96.215.161
217.98.64.13
62.233.225.229
62.87.148.245
62.87.238.116
80.48.119.3
80.48.247.64
80.49.158.159
80.49.45.101
80.49.75.158
80.51.247.22
80.54.17.192
80.54.181.168
80.54.248.58
80.54.35.221
80.54.39.71
80.54.44.134
80.55.119.14
80.55.133.250
80.55.174.126
80.55.218.18
81.15.139.155
81.15.156.34
81.15.182.30
81.168.144.204
81.190.57.196
81.210.117.2
83.30.25.197
83.30.6.28
83.30.7.51
83.30.8.194

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Przemyslaw Frasunek wrote:

>>I Netii takie sztormy nie obchodzą? Nie chcą nic zrobić żeby temu
>>zapobiec? Przecież to bardziej ich powinno obchodzić niż Ciebie...
> Ja mam kontakt tylko z helpdeskiem Netii -- zglaszam problem, prosze o
> blackholing czy ACL na dane IP docelowe i po pol godziny oddzwania
> helpdesk, z informacja ze administratorzy nie moga tego zrobic.

No to fajnie. I ten czas reakcji.

> Akurat wczorajszy przypadek po raz pierwszy zdestabilizowal tak prace
> calej lubelskiej Netii, ale mimo to nikt nic nie zrobil.

Może po prostu muszą sami nauczyć się, że warto zareagować. Smutne, bo
do tej pory nie miałem ani z łączami Netii ani ich ludźmi żadnych
problemów.

To od swojej strony nic nie zrobisz, poza rozpaczliwymi apelami do
dobrych ludzi u ISP ;)

BTW, niektóre z tych IP widziałem też u siebie w paru miejscach w
Polsce:

> 212.51.207.146
> 62.233.225.229
> 80.54.248.58
> 80.55.174.126
> 83.30.25.197

...najwięcej sieje TP S.A. Neo+/InternetDSL, Dialog generuje coraz
więcej śmiecia. Smutne, że nikomu się nie chce nic z tym zrobić.

--
Łukasz Bromirski lbromirski:mr0vka,eu,org

do góry