Re: ataki na sieć - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › ataki na sieć › Re: ataki na sieć

Path: news-archive.icm.edu.pl!news.rmf.pl!news.ipartners.pl!newsfeed.gazeta.pl!news.a
tman.pl!not-for-mail
From: Krzysztof Oledzki <o...@...ns.pl>
Newsgroups: pl.internet.polip
Subject: Re: ataki na sieć
Date: Fri, 27 Feb 2004 14:36:19 +0000 (UTC)
Organization: ATMAN
Lines: 61
Sender: Ole <o...@p...bsdzine.org>
Message-ID: <c1nkl2$1p3d$1@news.atman.pl>
References: <c1l9m5$dse$2@absolut.sgh.waw.pl> <c...@r...dom.pl>
NNTP-Posting-Host: prozac.bsdzine.org
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: news.atman.pl 1077892579 58477 195.177.211.227 (27 Feb 2004 14:36:19 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Fri, 27 Feb 2004 14:36:19 +0000 (UTC)
User-Agent: tin/1.5.9-20010723 ("Chord of Souls") (UNIX) (FreeBSD/4.9-STABLE (i386))
Xref: news-archive.icm.edu.pl pl.internet.polip:63156
[ ukryj nagłówki ]
Kamil 'Raczek' Raczyński <e...@c...barg.cy> wrote:
> Piotr KUCHARSKI <c...@s...waw.pl> nakibordził(a):
>
>>od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
>
> Potwierdzam. Na tepsianym dslu:
>
> 09:52:10.776113 IP 149.156.119.1.6667 > 80.53.167.221.17991: . ack
> 4063649333 win 65535
> 09:52:10.776845 IP 149.156.119.1.6667 > 80.53.167.222.17992: . ack
> 4046937653 win 65535
> 09:52:12.829049 IP 149.156.119.1.6667 > 80.53.167.218.44614: . ack
> 1697288566 win 65535
> 09:52:12.829803 IP 149.156.119.1.6667 > 80.53.167.220.44618: . ack
> 1630441846 win 65535
>
> Więc leci po różnych ipkach... oczywiście caly czas się to powtarza.
> Jak zauważył Przemek Popielarski ID jest wszędzie identyczne:
>
> 09:55:47.503499 IP (tos 0x0, ttl 47, id 39426, offset 0, flags [none],
> ^^^^^^^^
>
>>Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
>>takich przypadków swoim providerom, dobrze by było z kopią do
>>CERT Polska.
> Poszło do abuse'a i certu.
>
> ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
> zrobiłem...

Pakiet wygląda tak:

15:34:44.667398 149.156.119.1.6667 > XXX.XXX.XXX.2.60935: . [tcp sum ok] ack
1191897193 win 65535 (ttl 53, id 39426, len 40)
15:34:44.667626 149.156.119.1.6667 > XXX.XXX.XXX.33.60940: . [tcp sum ok] ack
1108338793 win 65535 (ttl 53, id 39426, len 40)
15:34:44.667785 149.156.119.1.6667 > XXX.XXX.XXX.1.60934: . [tcp sum ok] ack
1208608873 win 65535 (ttl 53, id 39426, len 40)

Może coś w stylu:

iptables -A PREROUTING -m u32 -p tcp -s 149.156.119.1 --sport 6667 --u32
"0&0xFFFF=40&&4>>16=39426" -j DROP

albo wersja z INPUT+FORWARD dla osób które nie mogą używać PREROUTING w filter:

iptables -N IRC_KRAKOW
iptables -A IRC_KRAKOW -m u32 --u32 "0&0xFFFF=40&&4>>16=39426" -j DROP

iptables -A INPUT -p tcp -s 149.156.119.1 --sport 6667 -j IRC_KRAKOW
iptables -A FORWARD -p tcp -s 149.156.119.1 --sport 6667 -j IRC_KRAKOW

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Linux Registered User: 189200
BSD Registered User: 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)