topek pisze:

>> Ale co to ma do rzeczy? Nie piszę o tropieniu trojanów. (D)DoS-y są
>> zazwyczaj prowokowane przez IRC, bo właśnie tam siedzą debile którzy
>> się w to bawią i nikt im w tym specjalnie nie przeszkadza, a szkoda.
>
> Wlasnie jest dokladnie tak jak piszesz - komp z naszej sieci ktory zlapal
> trojana staje sie komputerem zombie sterowanym
> poprzez irca, a wiec ma gdzies w tle proces ktory jest polaczony z jakims
> irc-serwerem. Blokujesz takiego usera, i czekasz az zadzwoni
> nastepnie pytasz czy siedzi na ircu (na takim a takim serwerze) - jezeli
> nie, to kazesz viry pousuwac

Ale ja piszę o korzystaniu z IRC, a nie o trojanach.

>> Nie załamuj, przecież byle atak zapcha te 4 mbit i takie regułki można
>> sobie wsadzić... w nos.
> Mi to dziala...
> Kiedys po wlaczeniu tego - nagle kilku ludziom przestal dzialac net...
> Po odpaleniu netstat -na -> okazalo sie ze mieli po 1000 a nawet 5000
> polaczen do netu, co powodowalo wzrost CPU na routerze i przepelnianie
> conntracka
> Dla mnie connlimit to podstawowa latka na kazdym linuxowym routerze.
> Wlaczenie connlimit mozna napewno zaliczyc do lepszego rozwiazania niz
> skladanie donosu na policje ze ktos DDOS'a robi...
> Tym bardziej ze jezeli mowimy o DDOSach sterowanych przez IRC'a, to raczej
> my robimy komus DDOS'a a nie odwrotnie.

Nie wiesz o czym piszesz, nara.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas <n...@n...invalid> wrote:
>> Tym bardziej ze jezeli mowimy o DDOSach sterowanych przez IRC-a, to raczej
>> my robimy komus DDOS-a a nie odwrotnie.
> Nie wiesz o czym piszesz, nara.

Wie, o czym pisze, tylko pisze o czym innym, niż ty.

A jeśli jeszcze nie widziałeś wirusów-botów, które są z IRC sterowane
do ataków DoS...

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal

do góry

Piotr KUCHARSKI pisze:

> Wie, o czym pisze, tylko pisze o czym innym, niż ty.

Właśnie o to mi chodzi -- raz już uściśliłem i nie chce mi się
kolejny. Autor wątku też pisał o zwykłym (D)DoSie, a nie zapychaniu
upstreamu przez DDoS-trojana.

> A jeśli jeszcze nie widziałeś wirusów-botów, które są z IRC sterowane
> do ataków DoS...

Widziałem i wiem doskonale jak działają. Nawet mógłbym z nazw je
wymieniać. Inna sprawa, że ponoć już wyszły z mody, teraz psują
raczej z 1-kilku hacked-boksów na dobrych łączach.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

> Właśnie o to mi chodzi -- raz już uściśliłem i nie chce mi się
> kolejny. Autor wątku też pisał o zwykłym (D)DoSie, a nie zapychaniu
> upstreamu przez DDoS-trojana.

To po cholere kazesz mu irca wylaczac, skoro to jego atakuja a nie on...

> Nie wiesz o czym piszesz, nara.

ok, niech Ci bedzie, koniec dyskusji - nara

> a connlimit to nie jest tylko na TCP przypadkiem?
No jezeli chodzi o SYN-flood (o ktory pytal autor) - to z udp raczej
syn-flooda nie zrobisz :)

do góry

topek pisze:

>> Właśnie o to mi chodzi -- raz już uściśliłem i nie chce mi się
>> kolejny. Autor wątku też pisał o zwykłym (D)DoSie, a nie zapychaniu
>> upstreamu przez DDoS-trojana.
>
> To po cholere kazesz mu irca wylaczac, skoro to jego atakuja a nie on...

No właśnie dlatego. Przytłaczająca większość (D)DoSów to efekt
kłótni/banów/czegokolwiek w IRCnecie.

>> a connlimit to nie jest tylko na TCP przypadkiem?
> No jezeli chodzi o SYN-flood (o ktory pytal autor) - to z udp raczej
> syn-flooda nie zrobisz :)

Syn-floody to się limituje per sec, czy per min, a nie ogólnym limitem.
A co do udp, to jasne, że nie syn, ale jakie to ma znaczenie? Efekt ten
sam. Zresztą limit na końcówce przy ataku z zewnątrz i łączu kilka
mbit/s i tak nic nie da.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

>> Wytnij dostęp do IRC.

chyba ze to nie irc jest problemem

> ...a na 3600 możesz skonfigurować CoPP (Control Plane
> Policing/Protection), który zabezpieczy Ci router w trakcie ataku
> przed przeciążeniem:
> http://www.cisco.com/application/pdf/en/us/guest/pro
ducts/ps1838/c1244/cdccont_0900aecd804ac831.pdf

niestety lacza nadal nie bedziesz mial - juz to przerabialem .

> A tak BTW, zaglądałeś może na:
> http://networkers.pl/bgp-blackholing/ ?

taaaaaa.... tylko jeden maly problem ze ataki najczesciej ida z adresow
nieprzechodzacych przez zrzeszonych ludzi , a problemem jest na polpakach to
iz nawet jak juz doprowadzisz do tego ze router zyje , blokujesz na nim
wszystko to i tak nawet pinga do wp bedziesz mial problem wyslac no moze 1
na 1000 pojdzie ....

sposobem czesciowym jest analiza logow , powtarzajace sie ataki na dany port
, dana wielkosc pakietu , dany protokol , i dzwonisz na zglaszanie awarii ,
podajesz co do wyblokowania , za kilkadziesiat minut do kilku godzin
dostaniesz telefon abys przeslal potwierdzenie faxem na taki i taki numer
lub ewentualnie mailem.

to rozwiazanie skutkuje jesli masz jakiegos klienta na ktorego glownie sa
ataki , jaki ip i duze pakiety UDP najczesciej ostatnio stosowany atak ,
skutecznie dobijajacy zarowno FR jak i ATM TP. Wiem bo sam przez to
przechodzilem , i lacze kilkadziesiat Mbit to dla ludzi nie problem aby
takim sposobem je ubic na jakis okreslony czas , zazwyczaj godzina do 3
godzin .



--
Pozdrawiam:
Karol Knapik
k...@k...com.pl
KK1207-RIPE

do góry

Neas napisał(a):
> michal pisze:
>
>> Mam ostatnio problemy z laczem ktore jest co jakiś czas przewaznie po 15
>> atakowane SYNFOOD'em i inymi pakietami UDP.
>> Efektem jest brak możliwości kozystania z łącza.
>> Posiadam 4Mbit FR z TPSA w LB.
>> Podpięty pod modemy router CISCO 3600.
>> W trakcie ataków nawet on tego nie wytrzymuje i wchodzi w stan resetu.
>> ALe nie o tym chciałem pisać.
>>
>> CHodzi mi oto jak skutecznie działać aby uchronić się od tego.
>> CO z tego że wyśle na a...@t...pl i zablokują mi te IP
>> z których jest atak, działa to na kilka dni czasami godzin, potem jest
>> atak z innych IP. Trzy tygodnie temu poszedłem na policjie i złożyłem
>> powiadomnienie o przestępstwie wraz z logami na CD.
>> Minęło od tego jaki czas a ja mam znowu od 3 dni nawrót ataków.
>>
>> Prosze o jakies rady jak działać.
>
> Wytnij dostęp do IRC.
>
nie jest to do końca dobre bo zablokuje jedną z usług i może to
prowadzić do niezadowolenia wsród klientów.

Michał

do góry

Łukasz Bromirski napisał(a):

> ...a na 3600 możesz skonfigurować CoPP (Control Plane
> Policing/Protection), który zabezpieczy Ci router w trakcie ataku
> przed przeciążeniem:
> http://www.cisco.com/application/pdf/en/us/guest/pro
ducts/ps1838/c1244/cdccont_0900aecd804ac831.pdf

sprubuje zobacze jak sie zachowa.
Od technikow TPSA mam info że lacze atakowane czasami bylo ok 50 000/s

>
>
> A tak BTW, zaglądałeś może na:
> http://networkers.pl/bgp-blackholing/ ?
musze się tym zainteresować.

>
> Pozdrawiam,

Michał

do góry

Pawel napisał(a):

>> http://www.cisco.com/application/pdf/en/us/guest/pro
ducts/ps1838/c1244/cdccont_0900aecd804ac831.pdf
>
> ciekawa jest ta rekomendacja cisco odnosnie hold-queue ustawianego na 1500,
> z moich doswiadczen wynika ze to bardzo nietrafiona rekomendacja...
> wyciecie irca jest dobrym pomyslem tyle ze w ten sposob blokuje sie jedną z
> usług a to juz jest dyskusyjne, lepiej probowac namierzyc zrodlo pochodzenia
> tych ataków i ich rodzaj i probowac blokowac taki ruch bo uruchamianie tych

ale co to da jak w łącze 4Mb jest pchane np. 10Mb to co da blokowanie
usług czy czegokolwiek, kierowanie do black-hole nic nie da.
Mam informacje że mimo blokowania na routerach TPSA to i tak atak nadal
jest.

> wszystkich funkcjonalnosci na cisco tez nie jest bez wplywu na wydajnosc
> routera
>

Michał

do góry

topek napisał(a):

>>> na podobne synfloody dobra tez byla latka connlimit z netfiltra:
>>> iptables -t filter -I $LANCUCH -p tcp --syn -m
>>> connlimit --connlimit-above
>>> $1 -j REJECT
>>> $1 = ~30-40
>>> $LANCUCH = FORWARD
>> Nie załamuj, przecież byle atak zapcha te 4 mbit i takie regułki można
>> sobie wsadzić... w nos.

awiazująz do tego wyżej .....

> Mi to dziala...
> Kiedys po wlaczeniu tego - nagle kilku ludziom przestal dzialac net...
> Po odpaleniu netstat -na -> okazalo sie ze mieli po 1000 a nawet 5000
> polaczen do netu, co powodowalo wzrost CPU na routerze i przepelnianie
> conntracka
> Dla mnie connlimit to podstawowa latka na kazdym linuxowym routerze.
> Wlaczenie connlimit mozna napewno zaliczyc do lepszego rozwiazania niz
> skladanie donosu na policje ze ktos DDOS'a robi...
> Tym bardziej ze jezeli mowimy o DDOSach sterowanych przez IRC'a, to raczej
> my robimy komus DDOS'a a nie odwrotnie.
>

coś nie tak chyba rozumiesz, nie chodzi mi oto że ktoś z mojej sieci
zaczyna atakować czy coś podobnego, za małe łącze mam aby to miało sens.
Kontroluje połączenia wychodzące i sprawdzam czy ktoś się łączył z tymi
IP co mnie atakują, jak narazie nie było trafień.


Michał

do góry