Re: ataki na sieć - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › ataki na sieć › Re: ataki na sieć

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
sfeed.gazeta.pl!news.task.gda.pl!newsfeed00.sul.t-online.de!newsfeed01.sul.t-on
line.de!t-online.de!newsfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not
-for-mail
From: Kamil 'Raczek' Raczyński <e...@c...barg.cy>
Newsgroups: pl.internet.polip
Subject: Re: ataki na sieć
Date: Fri, 27 Feb 2004 11:16:17 +0100
Organization: alt.pl.dupa (Kaskader & Blitzen)
Lines: 33
Message-ID: <c...@r...dom.pl>
References: <c1l9m5$dse$2@absolut.sgh.waw.pl>
NNTP-Posting-Host: aj218.internetdsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: nemesis.news.tpi.pl 1077880775 24485 80.53.167.218 (27 Feb 2004 11:19:35
GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Fri, 27 Feb 2004 11:19:35 +0000 (UTC)
X-Newsreader: Forte Agent 2.0/32.640 trialware
X-Posting-Agent: Hamster/2.0.0.1
X-SigInfo: Generated by Sygnaturkowiec v. 0.1.3.5
Xref: news-archive.icm.edu.pl pl.internet.polip:63116
[ ukryj nagłówki ]
Piotr KUCHARSKI <c...@s...waw.pl> nakibordził(a):

>od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów

Potwierdzam. Na tepsianym dslu:

09:52:10.776113 IP 149.156.119.1.6667 > 80.53.167.221.17991: . ack
4063649333 win 65535
09:52:10.776845 IP 149.156.119.1.6667 > 80.53.167.222.17992: . ack
4046937653 win 65535
09:52:12.829049 IP 149.156.119.1.6667 > 80.53.167.218.44614: . ack
1697288566 win 65535
09:52:12.829803 IP 149.156.119.1.6667 > 80.53.167.220.44618: . ack
1630441846 win 65535

Więc leci po różnych ipkach... oczywiście caly czas się to powtarza.
Jak zauważył Przemek Popielarski ID jest wszędzie identyczne:

09:55:47.503499 IP (tos 0x0, ttl 47, id 39426, offset 0, flags [none],
^^^^^^^^

>Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
>takich przypadków swoim providerom, dobrze by było z kopią do
>CERT Polska.
Poszło do abuse'a i certu.

ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
zrobiłem...

--
"Exec powinien działać, mazać partycje, uruchamiać jakieś fizdrygałki
a mój mi nie działa i tylko denerwuje."
/K. Puchatek/