Dnia 04.11.2010 Icek <i...@d...pl> napisał/a:
>> Ale konsekwencją jest niezamykanie połączeń TCP w prawidłowy sposób. Nie
>> dociera FIN+ACK od klienta z prawidłowego IP. Cięcie pakietów nie
>> wyeliminuje tej konsekwencji.
>
> nie, konsekwencja dla mnie jest to ze musze sprawdzic pol miliona pakietow
> na sekunde zeby odfiltrowac te z niechcianych adresow.
masz 500kpps "niechcianego" ruchu? napewno nie jest to atak dos? Albo nawet ddos?

U mnie na interfejsie do plixa - owszem - widze troszke pakietow z adresami
"prywatnymi", ale - glownie wychodzace. Czesc z urzadzen w sieciach ktore nie
potrzebuja internetu, a musza byc widoczne w sieci(a nie chcialo mi sie ich
wycinac na firewallu), czesc zapewne z jakis routerkow ktore robia nata, ale
cos im umknie... itepe. Wiem - powinno to byc odfiltrowane, ale dla ruchu kilku
pps nie chcialo mi sie jeszcze usiasc i posprawdzac wszystkiego ;)

--
Andrzej 'The Undefined' Dopierała
HomePage: http://andrzej.dopierala.name/
Reprezentuję siebie i wyrażam tylko moje zdanie!

do góry

>> Masz lepszy pomysł - posłucham z ciekawością.
>
> Poza odfiltrowaniem ruchu, ustalenie, kto go generuje i kontakt z danymi
> sieciami.

no to do dzieła, naprawa globalnego Internetu czeka ;)

Marcin

do góry

W dniu 03.11.2010 14:39, Sławek Lipowski pisze:
> W dniu 03.11.2010 13:18, Grzegorz Janoszka pisze:
>> On 03-11-10 13:01, Sławek Lipowski wrote:
>>> Ale konsekwencją jest niezamykanie połączeń TCP w prawidłowy sposób. Nie
>>> dociera FIN+ACK od klienta z prawidłowego IP. Cięcie pakietów nie
>>> wyeliminuje tej konsekwencji.
>>
>> Jesteś pewien, że nie dociera? IMHO te nienatowane, co widzisz, to
>> retransmisje.
>>
>
> Postaram się potwierdzić w wolnej chwili i dam znać.
>

Udało mi się powiązać część ruchu z FIN+ACK z src IP z klas prywatnych z
połączeniami TCP, które nie zostały zamknięte przez zdalny host.
Jednakże to gównie poszlaki. Pasuje TTL i id pakietów IP układają się
wiarygodnie. Część takiego ruchu nie udało mi się z niczym powiązać.
Może niepotrzebnie łączę te fakty, aczkolwiek to, że te pakiety mają
praktycznie zawsze ustawioną flagę FIN sprawia, że bardzo mocno wydaje
mi się, że nie jest to jakoś bardzo ogólny problem, tylko dość
szczególny przypadek.

Być może faktycznie głównie są to retransmisje, które nie łapią się już
w NAT. Jeśli by tak było, to nie ma dramatu (oczywiście to też nie
powinno mieć miejsca), przy czym dalej uważam, że to strona generująca
takie pakiety powinna zadbać o ich odfiltrowanie. Inaczej to trochę tak,
jak by zamiast ścigać złodziei samochodów nakazać wszystkim instalację
super zabezpieczeń antykradzieżowych w autach. Zabezpieczenia i tak
można i pewnie powinno się montować, ale to nie znaczy bynajmniej, że
nie trzeba chociażby próbować łapać złodziei. :)

--
Sławek Lipowski

do góry

W dniu 04.11.2010 22:52, Marcin Kuczera pisze:
>
>>> Masz lepszy pomysł - posłucham z ciekawością.
>>
>> Poza odfiltrowaniem ruchu, ustalenie, kto go generuje i kontakt z
>> danymi sieciami.
>
> no to do dzieła, naprawa globalnego Internetu czeka ;)
>
> Marcin

Ogólne przesłanie bijące z tego wątku jest mało pocieszające. Wygląda na
to, że większość z ludzi zajmujących się sieciami przywykła do
nieprawidłowości i jest przekonana, że nic się z tym nie da zrobić. W
AC-Xie nie są to tylko pakiety z src IP z klasy prywatnej, z wypowiedzi
jednej z osób wynika, że w PLIX jest podobnie.

NOC ATMANa niestety nie widzi w zgłoszonym przypadku powodu do
jakiejkolwiek interwencji z ich strony, a bez ich pomocy ciężko coś
wskórać i np. ustalić, kto tak naprawdę ten ruch generuje (jest niby
adres MAC, który można przypisać do IP z puli stykowej, ale nie ma
gwarancji, że adres MAC nie jest fałszywy). Temat pozostaje więc chyba
pozostawić samemu sobie.

--
Sławek Lipowski

do góry

Ja uważam, że może mieć miejsce nie wiem czy dobrze myślę i czy akurat jest
to o co chodzi w temacie... Ogółem stare. Odpal sobie serwer irc +
http://packetstormsecurity.org/irc/kaiten.c i TSUNAMI <target> <secs> :)

Jesteś najwyraźniej ofiarą takiego botnetu. Wystarczy jedna maszyna a syfu
potrafi nawalić ostro. Tylko dlaczego bogon ip puszcza...


Pozdrawiam,
Dulin


W dniu 6 listopada 2010 12:39 użytkownik Sławek Lipowski <
slawek@lipowski.org> napisał:

> W dniu 04.11.2010 22:52, Marcin Kuczera pisze:
> >
> >>> Masz lepszy pomysł - posłucham z ciekawością.
> >>
> >> Poza odfiltrowaniem ruchu, ustalenie, kto go generuje i kontakt z
> >> danymi sieciami.
> >
> > no to do dzieła, naprawa globalnego Internetu czeka ;)
> >
> > Marcin
>
> Ogólne przesłanie bijące z tego wątku jest mało pocieszające. Wygląda na
> to, że większość z ludzi zajmujących się sieciami przywykła do
> nieprawidłowości i jest przekonana, że nic się z tym nie da zrobić. W
> AC-Xie nie są to tylko pakiety z src IP z klasy prywatnej, z wypowiedzi
> jednej z osób wynika, że w PLIX jest podobnie.
>
> NOC ATMANa niestety nie widzi w zgłoszonym przypadku powodu do
> jakiejkolwiek interwencji z ich strony, a bez ich pomocy ciężko coś
> wskórać i np. ustalić, kto tak naprawdę ten ruch generuje (jest niby
> adres MAC, który można przypisać do IP z puli stykowej, ale nie ma
> gwarancji, że adres MAC nie jest fałszywy). Temat pozostaje więc chyba
> pozostawić samemu sobie.
>
> --
> Sławek Lipowski
> _______________________________________________
> POLIP mailing list
> P...@m...lodz.pl
> https://lists.man.lodz.pl/mailman/listinfo/polip
>

do góry

Sławek Lipowski wrote:
> W dniu 04.11.2010 22:52, Marcin Kuczera pisze:
>>
>>>> Masz lepszy pomysł - posłucham z ciekawością.
>>>
>>> Poza odfiltrowaniem ruchu, ustalenie, kto go generuje i kontakt z
>>> danymi sieciami.
>>
>> no to do dzieła, naprawa globalnego Internetu czeka ;)
>>
>> Marcin
>
> Ogólne przesłanie bijące z tego wątku jest mało pocieszające. Wygląda na
> to, że większość z ludzi zajmujących się sieciami przywykła do
> nieprawidłowości i jest przekonana, że nic się z tym nie da zrobić. W
> AC-Xie nie są to tylko pakiety z src IP z klasy prywatnej, z wypowiedzi
> jednej z osób wynika, że w PLIX jest podobnie.


no i co z tego ?
To jest problem firm obsługujących farmy serwerów i innych dla których
to ma znaczenie, ale dla telekomów to nie ma żadnego znaczenia tak więc
nie ma uzasadnienia ponoszenia kosztów związanych z rozwiązywaniem
takich spraw.

Marcin

do góry

6 Lis, 04:39, Sławek Lipowski <s...@l...org> napisał:

> NOC ATMANa niestety nie widzi w zgłoszonym przypadku powodu do
> jakiejkolwiek interwencji z ich strony, a bez ich pomocy ciężko coś
> wskórać...

Być może mają ważniejsze rzeczy do roboty od naprawiania całego
internetu.
Skoro nie udało Ci się z tym ruchem, sugeruję zacząć szerzyć pokój na
świecie. To na pewno ma sens :)

Herlok Sz.

do góry

> > nie, konsekwencja dla mnie jest to ze musze sprawdzic pol miliona
pakietow
> > na sekunde zeby odfiltrowac te z niechcianych adresow.
> masz 500kpps "niechcianego" ruchu? napewno nie jest to atak dos? Albo
nawet ddos?

nie, mam tyle chcianego. Ale żeby wyłapać z chcianego ten niechciany to
muszę każdy sprawdzić nie ?


> U mnie na interfejsie do plixa - owszem - widze troszke pakietow z
adresami
> "prywatnymi", ale - glownie wychodzace. Czesc z urzadzen w sieciach ktore
nie
> potrzebuja internetu, a musza byc widoczne w sieci(a nie chcialo mi sie
ich
> wycinac na firewallu), czesc zapewne z jakis routerkow ktore robia nata,
ale
> cos im umknie... itepe. Wiem - powinno to byc odfiltrowane, ale dla ruchu
kilku
> pps nie chcialo mi sie jeszcze usiasc i posprawdzac wszystkiego ;)

no mi tak samo. Bez sensu zajmowac sie problemem, ktory nie jest problemem a
jeżeliby zastosować jakieś rozwiązanie to ono generowałoby większy problem
niż ten obecnie istniejący


Icek

do góry

W dniu 06.11.2010 15:11, Airen pisze:
> (...) sugeruję zacząć szerzyć pokój na
> świecie. To na pewno ma sens :)
>
> Herlok Sz.
>
>

Chyba jednak nie warto. Trafię najprawdopodobniej głównie na samych
konserwatywnych pesymistów, którzy na wstępie powiedzą, że to się nie
uda i nie ma sensu nawet kiwnąć palcem, żeby chociażby w minimalnym
stopniu spróbować coś z tym zrobić. Będą motywować to tym, że nie widzą
w tym nic nadzwyczajnego, a poza tym to nie ich problem, a to, że na
świecie nie ma pokoju to jest normalka i nic nowego...

--
Sławek Lipowski

do góry

W dniu 2010-11-07 00:57, Sławek Lipowski pisze:
> Chyba jednak nie warto. Trafię najprawdopodobniej głównie na samych
> konserwatywnych pesymistów, którzy na wstępie powiedzą, że to się nie
> uda i nie ma sensu nawet kiwnąć palcem, żeby chociażby w minimalnym
> stopniu spróbować coś z tym zrobić. Będą motywować to tym, że nie widzą
> w tym nic nadzwyczajnego, a poza tym to nie ich problem, a to, że na
> świecie nie ma pokoju to jest normalka i nic nowego...

Zgadza się. Nie można im przetłumaczyć, że lepiej jest wrogiem dobrze.

--
start

do góry