eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipataki na sieć
Ilość wypowiedzi w tym wątku: 36

  • 1. Data: 2004-02-26 17:16:53
    Temat: ataki na sieć
    Od: Piotr KUCHARSKI <c...@s...waw.pl>

    Witam,

    Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
    od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
    (bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
    schematu:
    - do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
    klientów
    - serwer nie ma takich połączeń, więc (oczywiście) odsyła RST
    - jednocześnie adresy klientów otrzymują pakiety ACK ze spoofowanym
    adresem źródłowym (wstawiane są adresy serwerów IRC.pl)
    - klienci nie mają takich połączeń, więc (oczywiście) odsyłają RST

    Co prawda to tylko dwukrotne wzmocnienie ataku, ale jest on dość
    niewygodny do eliminowania.

    Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
    takich przypadków swoim providerom, dobrze by było z kopią do
    CERT Polska.
    Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
    niestety sprawę utrudnia fakt, że w większości są spoza Polski.

    Ataki (D)DoS mają w porywach do 400Mbps, stąd mogą występować
    utrudnienia w dostępie do serwerów IRC.pl.

    p.

    --
    Beware of he who would deny you access to information, for in his
    heart he dreams himself your master. -- Commissioner Pravin Lal
    http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)


  • 2. Data: 2004-02-26 17:40:32
    Temat: Re: ataki na sieć
    Od: Tomasz Paszkowski <a...@e...net>

    W artykule <c1l9m5$dse$2@absolut.sgh.waw.pl> Piotr KUCHARSKI napisał(a):
    > Witam,
    >
    > Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
    > od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
    > (bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
    > schematu:
    > - do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
    > klientów
    >

    A nie mozna by tymczasowo wyciac RST wychodzace z serwerow IRC,
    przynajmniej dla pakietow z portem zrodlowym 6667 ? Bo przy wiekszych sieciach
    tego ruchu jest sporo ...


    --
    Tomasz Paszkowski


  • 3. Data: 2004-02-26 18:04:28
    Temat: Re: ataki na sieć
    Od: Andrzej Sosnowski <r...@u...raptor.pl>

    On 26 Feb 2004 17:16:53 GMT, Piotr KUCHARSKI wrote:

    > Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
    > takich przypadków swoim providerom, dobrze by było z kopią do
    > CERT Polska.
    > Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
    > niestety sprawę utrudnia fakt, że w większości są spoza Polski.
    >

    Hmm to by tłumaczyło mnóstwo przychodzących od jakiegoś czasu pakietów:
    Feb 26 18:56:53 raptor kernel: Reject: IN=ppp0 OUT= MAC=
    SRC=149.156.119.1 DST=213.76.208.135 LEN=40 TOS=0x00 PREC=0x00 TTL=47
    ID=39426 PROTO=TCP SPT=6667 DPT=40696 SEQ=261924940 ACK=2518891045
    WINDOW=65535 RES=0x00 ACK URGP=0

    Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
    tpnecie ktoś się tym przejął. Chyba, że się mylę.

    --
    raptor * JID:raptor()raptor.pl


  • 4. Data: 2004-02-26 18:13:27
    Temat: Re: ataki na sieć
    Od: "Przemyslaw Popielarski" <p...@h...pl>

    Andrzej Sosnowski wrote:
    > Hmm to by tłumaczyło mnóstwo przychodzących od jakiegoś czasu
    > pakietów: Feb 26 18:56:53 raptor kernel: Reject: IN=ppp0 OUT= MAC=
    > SRC=149.156.119.1 DST=213.76.208.135 LEN=40 TOS=0x00 PREC=0x00 TTL=47
    > ID=39426 PROTO=TCP SPT=6667 DPT=40696 SEQ=261924940 ACK=2518891045
    > WINDOW=65535 RES=0x00 ACK URGP=0

    Zdaje sie, ze wszystkie takie pakieciki maja ten sam ID = 39426. To
    wyciachac mozna po tym ID w miare prosto.

    --
    ./ premax
    ./ p...@h...pl
    ./ koniec i bomba, a kto czytal ten traba. w.g.


  • 5. Data: 2004-02-26 18:16:47
    Temat: Re: ataki na sieć
    Od: Przemyslaw Frasunek <v...@p...na.niusy>

    Andrzej Sosnowski <r...@u...raptor.pl> napisał(a):

    > Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
    > tpnecie ktoś się tym przejął. Chyba, że się mylę.

    Zglos to CERTowi. Ma nadludzka moc w kwestii rozmawiania z TPSA o
    DDoSach. Serio.

    --
    * Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
    * JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *


  • 6. Data: 2004-02-26 18:19:50
    Temat: Re: ataki na sieć
    Od: "MeE" <a...@b...cc>

    > Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
    > tpnecie ktoś się tym przejął. Chyba, że się mylę.
    >
    Pani na infolini 0-800 podała mi numer do ich wydziału bezpieczeństwa; pan
    pod tym telefonem (również, jak pani) uprzejmie podał mi swoje nazwisko i
    prosił o opisanie na abuse i podanie, że to dla niego. Tak więc poszło i
    nadano temu numerek... Zobaczymy jak efekty.
    A co do ataków; mam czasem nawet klikanascie połaczeń na sekundę z
    warszawa.irc.pl i krakow.irc.pl na maskowany zewnętrzny IP, na którym na
    100% nikt nie siedział na irc-u... Robal bierze losowo IP polpaka?

    MeE



  • 7. Data: 2004-02-26 18:20:35
    Temat: Re: ataki na sieć
    Od: Przemyslaw Frasunek <v...@p...na.niusy>

    Piotr KUCHARSKI <c...@s...waw.pl> napisał(a):

    > Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
    > takich przypadków swoim providerom, dobrze by było z kopią do
    > CERT Polska.

    Zgadza sie, przychodzi cos takiego:

    19:17:28.802090 149.156.119.1.6667 > 193.138.118.154.6129: . ack
    4022682951 win 65535
    19:17:28.803002 149.156.119.1.6667 > 193.138.118.149.6127: . ack
    4056106311 win 65535
    19:17:28.803583 149.156.119.1.6667 > 193.138.118.140.6130: . ack
    4005971271 win 65535
    19:17:28.805046 149.156.119.1.6667 > 193.138.118.174.6134: . ack
    3939124551 win 65535
    19:17:28.805782 149.156.119.1.6667 > 193.138.118.173.6136: . ack
    3905701191 win 65535
    19:17:28.807173 149.156.119.1.6667 > 193.138.118.184.6137: . ack
    3888989511 win 65535
    19:17:28.807949 149.156.119.1.6667 > 193.138.118.170.6141: . ack
    3822142791 win 65535
    19:17:28.808773 149.156.119.1.6667 > 193.138.118.180.6139: . ack
    3855566151 win 65535
    19:17:28.809745 149.156.119.1.6667 > 193.138.118.175.6140: . ack
    3838854471 win 65535
    19:17:28.810783 149.156.119.1.6667 > 193.138.118.209.6142: . ack
    3805431111 win 65535
    19:17:28.811507 149.156.119.1.6667 > 193.138.118.190.7167: . ack
    3788719431 win 65535
    19:17:28.838408 149.156.119.1.6667 > 193.138.118.137.6128: . ack
    4039394631 win 65535

    W zasadzie bez przerwy.

    --
    * Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
    * JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *


  • 8. Data: 2004-02-26 18:50:30
    Temat: Re: ataki na sieć
    Od: Andrzej Sosnowski <r...@u...raptor.pl>

    On Thu, 26 Feb 2004 19:16:47 +0100, Przemyslaw Frasunek wrote:
    > Andrzej Sosnowski <r...@u...raptor.pl> napisał(a):
    >
    >> Chętnie gdzieś zgłosiłbym, tylko komu? Nieszczególnie wierzę by w
    >> tpnecie ktoś się tym przejął. Chyba, że się mylę.
    >
    > Zglos to CERTowi. Ma nadludzka moc w kwestii rozmawiania z TPSA o
    > DDoSach. Serio.
    >

    Hmm sprawdzimy. Tak czy owak pójdzie do certu i tpnetu.

    --
    raptor * JID:raptor()raptor.pl


  • 9. Data: 2004-02-26 19:05:24
    Temat: Re: ataki na sieć
    Od: "Adam Paluch" <a...@b...net>

    MeE wrote:
    <ciach>

    > Robal bierze losowo IP polpaka?

    nie tylko polpaka

    --
    Adam Paluch <a...@b...net>
    bluuu.NET, Sosnowiec
    tel. (32) 266 71 22
    www.bluu.net


  • 10. Data: 2004-02-26 19:39:05
    Temat: Re: ataki na sieć
    Od: Lukasz Trabinski <l...@t...net>

    In pl.internet.polip Piotr KUCHARSKI <c...@s...waw.pl> wrote:

    > Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
    > takich przypadków swoim providerom, dobrze by było z kopią do
    > CERT Polska.
    > Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
    > niestety sprawę utrudnia fakt, że w większości są spoza Polski.

    Cóż poszło zgłoszenie, mam niestety wrażenie że output z logów niewiele
    może pomóc. :(

    --
    *[ ŁT ]*

strony : [ 1 ] . 2 ... 4


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: