-
21. Data: 2004-02-27 15:13:28
Temat: Re: ataki na sieć
Od: Piotr KUCHARSKI <c...@s...waw.pl>
Tomasz Paszkowski <a...@e...net> wrote:
> IMHO lepiej dropować RST z/do ipka: 149.156.119.1:6667
Jeśli się da, to po tym niezmiennym ID ciąć.
To najprawdopodobniej jest jakiś botnet lub armia zombie.
Spoofowany adres może się zmieniać (parę dni temu była to
warszawa). Gorzej będzie, jak się będzie zmieniać co godzinę,
na różne IP związane z infrastrukturą sieciową (routery, serwery
DNS). Wtedy może niektórzy (jak Telia) przestaną bagatelizować
sprawę, że to tylko IRC.
p.
--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)
-
22. Data: 2004-02-27 15:45:46
Temat: Re: ataki na sieć
Od: Michal Jankowski <m...@f...edu.pl>
Piotr KUCHARSKI <c...@s...waw.pl> writes:
> warszawa). Gorzej będzie, jak się będzie zmieniać co godzinę,
^^^^^^^^^^^^^
> na różne IP związane z infrastrukturą sieciową (routery, serwery
> DNS). Wtedy może niektórzy (jak Telia) przestaną bagatelizować
> sprawę, że to tylko IRC.
No to moze wlasnie lepiej bedzie?
MJ
-
23. Data: 2004-02-27 16:07:05
Temat: Re: ataki na sieć
Od: Mateusz Papiernik <m...@m...net>
Michal Jankowski wrote:
> No to moze wlasnie lepiej bedzie?
jak zauważą i zlikwidują - to lepiej. Ale na początku będą problemy z
siecią, jak zaatakuje co ważniejsze punkty...
--
Mati (m...@m...net)
One man can make a difference
-- Wilton Knight, Knight of the Phoenix (Knight Rider)
-
24. Data: 2004-02-27 16:42:41
Temat: Re: ataki na sieć
Od: Bartek Golenko <b...@d...caton.com.pl>
Bohdan Horst <n...@i...pl> wrote:
> Przemyslaw Frasunek <v...@p...na.niusy> wrote:
>> Bohdan Horst <n...@i...pl> napisał(a):
>>> lepiej, ale tablica stanów niestety ma ograniczona pojemność .. ;)
>>
>> Ale mozna powiekszyc. Robilem kiedys testy ipf'a dla kilkudziesieciu
>> tysiecy polaczen.
>
> ja miałem prawie milion .. :))
Hmm.. pare dni temu na PWr padl mi router - jak sie okazalo byl
kompletnie zatkany obsluga ruchu z jednego windowsa (ok, 3MB/s,
iptables sie nie wyrobilo bo to tylko p133). Winny windows zostal
odwirusowany i nie zajmowalem sie tym wiecej,ale jesli to sie do czegos
przyda to moge poszukac co to bylo za dziadostwo.
--
Bartlomiej Golenko
b...@z...ita.pwr.wroc.pl
W korespondencji prywatnej nie odpowiadam osobom uzywajacym spamtrapow.
-
25. Data: 2004-02-27 17:06:37
Temat: Re: ataki na sieć
Od: Mateusz Papiernik <m...@m...net>
Bartek Golenko wrote:
> (ok, 3MB/s, iptables sie nie wyrobilo bo to tylko p133).
znaczy się, z czym się nie wyrobiło ? z routowaniem tego ? ja mam AMD
K5-100 i 32 MB ramu, stoi w kącie, rozdziela mój domowy internet. Domowy
internet to LAN + obciecie do 128 kbit na serwerze providera. Na tym
domowym routerku chodzi apache, proftpd, mysql i pare innych usług i
spoko z zewnątrz (z LANu providera) wysysam 7 - 8 MB/s. Nie zatyka się.
--
Mati (m...@m...net)
One man can make a difference
-- Wilton Knight, Knight of the Phoenix (Knight Rider)
-
26. Data: 2004-02-27 17:26:51
Temat: Re: ataki na sieć
Od: Przemyslaw Frasunek <v...@p...na.niusy>
Mateusz Papiernik <m...@m...net> napisał(a):
> znaczy się, z czym się nie wyrobiło ? z routowaniem tego ? ja mam AMD
> K5-100 i 32 MB ramu, stoi w kącie, rozdziela mój domowy
> internet. Domowy internet to LAN + obciecie do 128 kbit na serwerze
> providera. Na tym domowym routerku chodzi apache, proftpd, mysql i
> pare innych usług i spoko z zewnątrz (z LANu providera) wysysam 7 - 8
> MB/s. Nie zatyka się.
Przy malych pakietach na pewno sie nie wyrobi. A takie sa wlasnie
DDoSy, zazwyczaj pakiety maja po kilkadziesiat bajtow.
--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *
-
27. Data: 2004-02-27 17:35:17
Temat: Re: ataki na sieć
Od: Bartek Golenko <b...@d...caton.com.pl>
Mateusz Papiernik <m...@m...net> wrote:
> Bartek Golenko wrote:
>> (ok, 3MB/s, iptables sie nie wyrobilo bo to tylko p133).
>
> znaczy się, z czym się nie wyrobiło ? z routowaniem tego ? ja mam AMD
> K5-100 i 32 MB ramu, stoi w kącie, rozdziela mój domowy internet. Domowy
> internet to LAN + obciecie do 128 kbit na serwerze providera. Na tym
> domowym routerku chodzi apache, proftpd, mysql i pare innych usług i
> spoko z zewnątrz (z LANu providera) wysysam 7 - 8 MB/s. Nie zatyka się.
Policz ile masz obslugiwanych w tym samym czasie polaczen.
Prawdopodobnie kilkanascie do kilkudziesieciu. A tamten robal
generowal pakiety na rozne porty/adresy - a poniewaz byl za NAT-em
to iptables musialo kazde takie polaczenie sledzic.
Przy normalnej pracy temu routerkowi zupelnie nie przeszkadza obsluga
ponad 50 kompow z wyjsciowym 10Mb
--
Bartlomiej Golenko
b...@z...ita.pwr.wroc.pl
W korespondencji prywatnej nie odpowiadam osobom uzywajacym spamtrapow.
-
28. Data: 2004-02-27 17:55:09
Temat: Re: ataki na sieć
Od: Kamil 'Raczek' Raczyński <e...@c...barg.cy>
Krzysztof Oledzki <o...@...ns.pl> nakibordził(a):
>Może coś w stylu:
>
>iptables -A PREROUTING -m u32 -p tcp -s 149.156.119.1 --sport 6667 --u32
"0&0xFFFF=40&&4>>16=39426" -j DROP
Nie używałem u32 ale z tego co doczytałem i jak rozumiem, to tutaj jest
match jeżeli długość=40 i ID=39426 - tak?
>albo wersja z INPUT+FORWARD dla osób które nie mogą używać PREROUTING w filter:
A samo INPUT w filter nie wystarczy?
--
"Szanse jedne na milion spełniają się w dziewięciu przypadkach
na dziesięć."
/Essmeralda Weatherwaxe (panna) czarownica/
-
29. Data: 2004-02-27 18:00:23
Temat: Re: ataki na sieć
Od: Olek <o...@p...onet.pl>
Dnia 04-02-26 18:16, internauta Piotr KUCHARSKI napisał(a):
> Witam,
>
> Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
Jeden użytkownik z windy sieje czymś takim. Jednak ciągle na same kilka
adresów. Jesteście zainteresowani, iść szukać przyczyny?
18:47:43.520307 192.168.1.11.1536 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 3342, len 48)
18:47:49.519387 192.168.1.11.1536 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 3598, len 48)
18:48:01.517515 192.168.1.11.1536 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 4110, len 48)
18:48:27.686602 192.168.1.11.1538 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 4878, len 48)
18:48:30.613045 192.168.1.11.1538 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 5390, len 48)
18:48:36.612115 192.168.1.11.1538 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 5646, len 48)
18:48:48.610236 192.168.1.11.1538 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 5902, len 48)
18:49:14.876736 192.168.1.11.1540 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 6926, len 48)
18:49:17.810729 192.168.1.11.1540 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 7182, len 48)
18:49:23.809798 192.168.1.11.1540 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 7438, len 48)
18:49:35.807917 192.168.1.11.1540 > 62.80.124.155.6667: tcp 0 (DF) (ttl
128, id 7950, len 48)
18:50:02.006542 192.168.1.11.1542 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 9230, len 48)
18:50:04.908422 192.168.1.11.1542 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 9486, len 48)
18:50:10.906741 192.168.1.11.1542 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 9742, len 48)
18:50:22.905637 192.168.1.11.1542 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 9998, len 48)
18:50:49.108322 192.168.1.11.1544 > 213.193.225.252.6667: tcp 0 (DF)
(ttl 128, id 10510, len 48)
18:50:52.066130 192.168.1.11.1544 > 213.193.225.252.6667: tcp 0 (DF)
(ttl 128, id 10766, len 48)
18:50:58.065216 192.168.1.11.1544 > 213.193.225.252.6667: tcp 0 (DF)
(ttl 128, id 11022, len 48)
18:51:10.568266 192.168.1.11.1544 > 213.193.225.252.6667: tcp 0 (DF)
(ttl 128, id 11278, len 48)
18:51:36.892386 192.168.1.11.1546 > 80.196.158.72.6667: tcp 0 (DF) (ttl
128, id 11790, len 48)
18:51:40.368688 192.168.1.11.1546 > 80.196.158.72.6667: tcp 0 (DF) (ttl
128, id 12046, len 48)
18:51:46.372754 192.168.1.11.1546 > 80.196.158.72.6667: tcp 0 (DF) (ttl
128, id 12302, len 48)
18:51:58.375885 192.168.1.11.1546 > 80.196.158.72.6667: tcp 0 (DF) (ttl
128, id 12558, len 48)
18:52:24.536692 192.168.1.11.1548 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 13070, len 48)
18:52:27.476435 192.168.1.11.1548 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 13326, len 48)
18:52:33.475485 192.168.1.11.1548 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 13582, len 48)
18:52:45.473613 192.168.1.11.1548 > 195.22.74.199.6667: tcp 0 (DF) (ttl
128, id 13838, len 48)
18:53:11.636657 192.168.1.11.1551 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 14350, len 48)
18:53:14.574109 192.168.1.11.1551 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 14606, len 48)
18:53:20.573172 192.168.1.11.1551 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 14862, len 48)
18:53:32.571291 192.168.1.11.1551 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 15118, len 48)
18:53:59.346679 192.168.1.11.1556 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 18958, len 48)
18:54:02.271712 192.168.1.11.1556 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 19214, len 48)
18:54:08.275805 192.168.1.11.1556 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 19726, len 48)
18:54:20.283917 192.168.1.11.1556 > 195.92.253.3.6667: tcp 0 (DF) (ttl
128, id 19982, len 48)
--
Olek
-
30. Data: 2004-02-27 18:05:25
Temat: Re: ataki na sieć
Od: Mateusz Papiernik <m...@m...net>
Bartek Golenko wrote:
> Policz ile masz obslugiwanych w tym samym czasie polaczen.
~1500 - uzywam p2p.
> generowal pakiety na rozne porty/adresy - a poniewaz byl za NAT-em
> to iptables musialo kazde takie polaczenie sledzic.
ale tak jak odpowiedzial Venglin, moje 9 MB/s to duże pakiety FTP, a nie
DoS'y.
--
Mati (m...@m...net)
One man can make a difference
-- Wilton Knight, Knight of the Phoenix (Knight Rider)