Neas <n...@n...invalid> wrote:
> Krzysztof Oledzki pisze:
>
> > A teraz pomyśl że nie masz dostępu do takich logów, tak jak operator
> > Polpaka. Co teraz? Jak poznasz że dane zapytanie DNS było częścią ataku?
>
> Tego od nich nie oczekiwałem. Pisałem o tcp-syn floodzie. Chyba nietrudno
> stwierdzić, że setny z kolei tcp-syn na port 22 z tego samego IP to DoS?
Zależy w jakim czasie. Kilku userów zza tego samego nata, starając się
połączyć w czasie takiego ataku, dość szybko może wygenerować sto SYNów.
Ja np. nie wziąłym na siebie odpowiedzialności podejmowania decyzji, jaki
IP mam klientowi zablkować. Szczególnie że klient nie zgadza się na
zablokowanie portu.

> Szczególnie, gdy dst-ip te zapytania ignoruje?
Dlaczego? I skąd to wiadomo?

> >> Moim zdaniem zdecydowanie przejaskrawiasz ten domniemany problem z
> >> tymczasowym
> >> wycięciem kilkuset ipków.
> > Ciągle zapominasz, że nie jesteś sam. OK, jako administrator swojej sieci
> > możesz poświęcić dowolnie wiele czasu na odpieranie ataku. Będąc
> > operatorem w takim jak Polpak nie masz już takiego komfortu - masz tysiące
> > klientów, każdy ma jakieś problemy. Zostało zaproponowane rozwiązanie,
> > które w dobrze zaprojektowanej sieci powinno zadziałać.
> Ależ to nie wymaga poświęcenia dowolnej ilości czasu. To jest bardzo proste
> i przeciętnie rozgarniętej osobie nie powinno zająć więcej niż kilka minut.
> Ów specjalista więcej czasu stracił na opowiadanie głupot przez telefon.
O tam. Poświęcił swój czas dla Ciebie. To też coś.

> > Kto poważny
> > wchodzi na IRC z adresem, na którym znajdują się krytyczne dla pracy firmy
> > usługi?
> Na tym serwerze udostepniane są konta z dostepem do shella, więc przed
> IRC-em nie ma jak się obronić.
Coś takiego jak firewall nie funkcjonuje na tym serwerze?

> >> Jeśli już nie potrafią zastosować bardziej sensownego
> >> rozwiązania (przykłady podałem w innych postach) to mogliby zrobić
> >> chociaż to.
> > Podałeś im gotowe ip? Zasugerowałeś że przygotujesz aclki wg. ich zaleceń?
> Nie mogłem połączyć się zdalnie z tym hostem, przecież był DoSowany.
Nie masz jakiegoś backupowego dojścia do sieci na wypadak awarii?
Neostrada, DSL, modem, alboco? To chyba nie jest jakaś krytyczna
sieć i serwer. ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)