On Fri, 27 Feb 2004 15:13:28 +0000, Piotr KUCHARSKI wrote:

> Tomasz Paszkowski <a...@e...net> wrote:
>> IMHO lepiej dropować RST z/do ipka: 149.156.119.1:6667
>
> Jeśli się da, to po tym niezmiennym ID ciąć.
>
> To najprawdopodobniej jest jakiś botnet lub armia zombie.
> Spoofowany adres może się zmieniać (parę dni temu była to
> warszawa). Gorzej będzie, jak się będzie zmieniać co godzinę,
> na różne IP związane z infrastrukturą sieciową (routery, serwery
> DNS). Wtedy może niektórzy (jak Telia) przestaną bagatelizować
> sprawę, że to tylko IRC.
>
> p.
Przychodzi falami....z source krakow.irc.pl...i ledzi po różnych adresach
IP zawsze to samo ID i LEN jak pisali inni:
19:08:48.582298 149.156.119.1.6667 > 212.33.70.3.38114: .
[tcp sum ok] ack 3892776056 win 65535 (ttl 48, id 39426, len 40)
19:08:48.583343 149.156.119.1.6667 > 212.33.70.20.38118: .
[tcp sum ok] ack 3825929336 win 65535 (ttl 48, id 39426, len 40)
19:08:48.585819 149.156.119.1.6667 > 212.33.84.168.38441: .
[tcp sum ok] ack 2706181496 win 65535 (ttl 48, id 39426, len 40)
19:08:48.586814 149.156.119.1.6667 > 212.33.84.241.38450: .
[tcp sum ok] ack 2555776376 win 65535 (ttl 48, id 39426, len 40)
19:08:48.589677 149.156.119.1.6667 > 212.33.84.145.38438: .
[tcp sum ok] ack 2756316536 win 65535 (ttl 48, id 39426, len 40)
19:08:48.590728 149.156.119.1.6667 > 212.33.84.180.38444: .
[tcp sum ok] ack 2656046456 win 65535 (ttl 48, id 39426, len 40)
19:08:48.591484 149.156.119.1.6667 > 212.33.84.192.38447: .
[tcp sum ok] ack 2605911416 win 65535 (ttl 48, id 39426, len 40)
19:08:48.592374 149.156.119.1.6667 > 212.33.84.128.38460: .
[tcp sum ok] ack 2388659576 win 65535 (ttl 48, id 39426, len 40)


--
Regards M.J.

do góry

Mysle ze nalezalo by sie mu dobrac do kompa i zobaczyc skad sie to bierze
Grzegorz

do góry

Olek <o...@p...onet.pl> wrote:
> Dnia 04-02-26 18:16, internauta Piotr KUCHARSKI napisał(a):
>> Witam,
>>
>> Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
>
> Jeden użytkownik z windy sieje czymś takim. Jednak ciągle na same kilka
> adresów. Jesteście zainteresowani, iść szukać przyczyny?

Zjawisko różnorakich ataków ddos niestety wciąż będzie się nasilać,
możliwości jakie niesie ze sobą dziurawość jednego z wiodących systemów
operacyjnych oraz nieświadomośc jego użytkowników jest poprostu porażająca.

--
*[ ŁT ]*

do góry

Dnia 04-02-27 21:07, internauta Lukasz Trabinski napisał(a):

>>Jeden użytkownik z windy sieje czymś takim. Jednak ciągle na same kilka
>>adresów. Jesteście zainteresowani, iść szukać przyczyny?
>
>
> Zjawisko różnorakich ataków ddos niestety wciąż będzie się nasilać,
> możliwości jakie niesie ze sobą dziurawość jednego z wiodących systemów
> operacyjnych oraz nieświadomośc jego użytkowników jest poprostu porażająca.

Na szybko nic nie znalazłem, ani w rejestrze ani antywirusem.
Leczenie objawowe na ruterze bo dopiero za kilka dni będę mógł dorwać
kompa w swoje ręce.
--
Olek

do góry

In article <3...@2...244.86.3>, Mateusz Papiernik wrote:
> Bartek Golenko wrote:
>> Policz ile masz obslugiwanych w tym samym czasie polaczen.
>
> ~1500 - uzywam p2p.

Tylko? ;)
--
Samotnik
www.zagle.org.pl

do góry

Kamil 'Raczek' Raczyński <e...@c...barg.cy> wrote:
> Krzysztof Oledzki <o...@...ns.pl> nakibordził(a):
>
>>Może coś w stylu:
>>
>>iptables -A PREROUTING -m u32 -p tcp -s 149.156.119.1 --sport 6667 --u32
"0&0xFFFF=40&&4>>16=39426" -j DROP
>
> Nie używałem u32 ale z tego co doczytałem i jak rozumiem, to tutaj jest
> match jeżeli długość=40 i ID=39426 - tak?
Tak, za pomocą u32 własnie to jest wyłapywane. Do tego dochodzi -p tcp, sport oraz
src.

>>albo wersja z INPUT+FORWARD dla osób które nie mogą używać PREROUTING w filter:
> A samo INPUT w filter nie wystarczy?
Nie, przez do INPUT trafiają pakiety które kończą u Ciebie, te forwarodowane
już nie. Na routerze nie byłoby z tego zbyt dużego pożytku.

FUT warning.

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Linux Registered User: 189200
BSD Registered User: 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry