Witam,

Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
(bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
schematu:
- do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
klientów
- serwer nie ma takich połączeń, więc (oczywiście) odsyła RST
- jednocześnie adresy klientów otrzymują pakiety ACK ze spoofowanym
adresem źródłowym (wstawiane są adresy serwerów IRC.pl)
- klienci nie mają takich połączeń, więc (oczywiście) odsyłają RST

Co prawda to tylko dwukrotne wzmocnienie ataku, ale jest on dość
niewygodny do eliminowania.

Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
takich przypadków swoim providerom, dobrze by było z kopią do
CERT Polska.
Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
niestety sprawę utrudnia fakt, że w większości są spoza Polski.

Ataki (D)DoS mają w porywach do 400Mbps, stąd mogą występować
utrudnienia w dostępie do serwerów IRC.pl.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)