-
1. Data: 2004-02-26 17:16:53
Temat: ataki na sieć
Od: Piotr KUCHARSKI <c...@s...waw.pl>
Witam,
Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
(bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
schematu:
- do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
klientów
- serwer nie ma takich połączeń, więc (oczywiście) odsyła RST
- jednocześnie adresy klientów otrzymują pakiety ACK ze spoofowanym
adresem źródłowym (wstawiane są adresy serwerów IRC.pl)
- klienci nie mają takich połączeń, więc (oczywiście) odsyłają RST
Co prawda to tylko dwukrotne wzmocnienie ataku, ale jest on dość
niewygodny do eliminowania.
Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
takich przypadków swoim providerom, dobrze by było z kopią do
CERT Polska.
Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
niestety sprawę utrudnia fakt, że w większości są spoza Polski.
Ataki (D)DoS mają w porywach do 400Mbps, stąd mogą występować
utrudnienia w dostępie do serwerów IRC.pl.
p.
--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)
-
2. Data: 2004-02-26 17:40:32
Temat: Re: ataki na sieć
Od: Tomasz Paszkowski <a...@e...net>
W artykule <c1l9m5$dse$2@absolut.sgh.waw.pl> Piotr KUCHARSKI napisał(a):
> Witam,
>
> Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
> od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
> (bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
> schematu:
> - do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
> klientów
>
A nie mozna by tymczasowo wyciac RST wychodzace z serwerow IRC,
przynajmniej dla pakietow z portem zrodlowym 6667 ? Bo przy wiekszych sieciach
tego ruchu jest sporo ...
--
Tomasz Paszkowski
-
3. Data: 2004-02-26 18:04:28
Temat: Re: ataki na sieć
Od: Andrzej Sosnowski <r...@u...raptor.pl>
On 26 Feb 2004 17:16:53 GMT, Piotr KUCHARSKI wrote:
> Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
> takich przypadków swoim providerom, dobrze by było z kopią do
> CERT Polska.
> Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
> niestety sprawę utrudnia fakt, że w większości są spoza Polski.
>
Hmm to by tłumaczyło mnóstwo przychodzących od jakiegoś czasu pakietów:
Feb 26 18:56:53 raptor kernel: Reject: IN=ppp0 OUT= MAC=
SRC=149.156.119.1 DST=213.76.208.135 LEN=40 TOS=0x00 PREC=0x00 TTL=47
ID=39426 PROTO=TCP SPT=6667 DPT=40696 SEQ=261924940 ACK=2518891045
WINDOW=65535 RES=0x00 ACK URGP=0
Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
tpnecie ktoś się tym przejął. Chyba, że się mylę.
--
raptor * JID:raptor()raptor.pl
-
4. Data: 2004-02-26 18:13:27
Temat: Re: ataki na sieć
Od: "Przemyslaw Popielarski" <p...@h...pl>
Andrzej Sosnowski wrote:
> Hmm to by tłumaczyło mnóstwo przychodzących od jakiegoś czasu
> pakietów: Feb 26 18:56:53 raptor kernel: Reject: IN=ppp0 OUT= MAC=
> SRC=149.156.119.1 DST=213.76.208.135 LEN=40 TOS=0x00 PREC=0x00 TTL=47
> ID=39426 PROTO=TCP SPT=6667 DPT=40696 SEQ=261924940 ACK=2518891045
> WINDOW=65535 RES=0x00 ACK URGP=0
Zdaje sie, ze wszystkie takie pakieciki maja ten sam ID = 39426. To
wyciachac mozna po tym ID w miare prosto.
--
./ premax
./ p...@h...pl
./ koniec i bomba, a kto czytal ten traba. w.g.
-
5. Data: 2004-02-26 18:16:47
Temat: Re: ataki na sieć
Od: Przemyslaw Frasunek <v...@p...na.niusy>
Andrzej Sosnowski <r...@u...raptor.pl> napisał(a):
> Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
> tpnecie ktoś się tym przejął. Chyba, że się mylę.
Zglos to CERTowi. Ma nadludzka moc w kwestii rozmawiania z TPSA o
DDoSach. Serio.
--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *
-
6. Data: 2004-02-26 18:19:50
Temat: Re: ataki na sieć
Od: "MeE" <a...@b...cc>
> Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
> tpnecie ktoś się tym przejął. Chyba, że się mylę.
>
Pani na infolini 0-800 podała mi numer do ich wydziału bezpieczeństwa; pan
pod tym telefonem (również, jak pani) uprzejmie podał mi swoje nazwisko i
prosił o opisanie na abuse i podanie, że to dla niego. Tak więc poszło i
nadano temu numerek... Zobaczymy jak efekty.
A co do ataków; mam czasem nawet klikanascie połaczeń na sekundę z
warszawa.irc.pl i krakow.irc.pl na maskowany zewnętrzny IP, na którym na
100% nikt nie siedział na irc-u... Robal bierze losowo IP polpaka?
MeE
-
7. Data: 2004-02-26 18:20:35
Temat: Re: ataki na sieć
Od: Przemyslaw Frasunek <v...@p...na.niusy>
Piotr KUCHARSKI <c...@s...waw.pl> napisał(a):
> Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
> takich przypadków swoim providerom, dobrze by było z kopią do
> CERT Polska.
Zgadza sie, przychodzi cos takiego:
19:17:28.802090 149.156.119.1.6667 > 193.138.118.154.6129: . ack
4022682951 win 65535
19:17:28.803002 149.156.119.1.6667 > 193.138.118.149.6127: . ack
4056106311 win 65535
19:17:28.803583 149.156.119.1.6667 > 193.138.118.140.6130: . ack
4005971271 win 65535
19:17:28.805046 149.156.119.1.6667 > 193.138.118.174.6134: . ack
3939124551 win 65535
19:17:28.805782 149.156.119.1.6667 > 193.138.118.173.6136: . ack
3905701191 win 65535
19:17:28.807173 149.156.119.1.6667 > 193.138.118.184.6137: . ack
3888989511 win 65535
19:17:28.807949 149.156.119.1.6667 > 193.138.118.170.6141: . ack
3822142791 win 65535
19:17:28.808773 149.156.119.1.6667 > 193.138.118.180.6139: . ack
3855566151 win 65535
19:17:28.809745 149.156.119.1.6667 > 193.138.118.175.6140: . ack
3838854471 win 65535
19:17:28.810783 149.156.119.1.6667 > 193.138.118.209.6142: . ack
3805431111 win 65535
19:17:28.811507 149.156.119.1.6667 > 193.138.118.190.7167: . ack
3788719431 win 65535
19:17:28.838408 149.156.119.1.6667 > 193.138.118.137.6128: . ack
4039394631 win 65535
W zasadzie bez przerwy.
--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *
-
8. Data: 2004-02-26 18:50:30
Temat: Re: ataki na sieć
Od: Andrzej Sosnowski <r...@u...raptor.pl>
On Thu, 26 Feb 2004 19:16:47 +0100, Przemyslaw Frasunek wrote:
> Andrzej Sosnowski <r...@u...raptor.pl> napisał(a):
>
>> Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
>> tpnecie ktoś się tym przejął. Chyba, że się mylę.
>
> Zglos to CERTowi. Ma nadludzka moc w kwestii rozmawiania z TPSA o
> DDoSach. Serio.
>
Hmm sprawdzimy. Tak czy owak pójdzie do certu i tpnetu.
--
raptor * JID:raptor()raptor.pl
-
9. Data: 2004-02-26 19:05:24
Temat: Re: ataki na sieć
Od: "Adam Paluch" <a...@b...net>
MeE wrote:
<ciach>
> Robal bierze losowo IP polpaka?
nie tylko polpaka
--
Adam Paluch <a...@b...net>
bluuu.NET, Sosnowiec
tel. (32) 266 71 22
www.bluu.net
-
10. Data: 2004-02-26 19:39:05
Temat: Re: ataki na sieć
Od: Lukasz Trabinski <l...@t...net>
In pl.internet.polip Piotr KUCHARSKI <c...@s...waw.pl> wrote:
> Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
> takich przypadków swoim providerom, dobrze by było z kopią do
> CERT Polska.
> Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
> niestety sprawę utrudnia fakt, że w większości są spoza Polski.
Cóż poszło zgłoszenie, mam niestety wrażenie że output z logów niewiele
może pomóc. :(
--
*[ ŁT ]*
do góry
![Wakacje 2024, czyli urlop pod znakiem oszczędności [© Jerzy Górecki z Pixabay]](https://s3.egospodarka.pl/grafika2/ceny-noclegow/Wakacje-2024-czyli-urlop-pod-znakiem-oszczednosci-260471-50x33crop.jpg "Wakacje 2024, czyli urlop pod znakiem oszczędności [© Jerzy Górecki z Pixabay]")
Wakacje 2024, czyli urlop pod znakiem oszczędności
