> Ataki (D)DoS mają w porywach do 400Mbps, stąd mogą występować
> utrudnienia w dostępie do serwerów IRC.pl.


czy to dlatego sieci pol34/Pionier jakos dziwnie chodzi od tygodnia?
lekko mowiac transfery wewnatrz sieci pol34 spadly prawie 80x
z icmu mielismy Radom prawie 10MB/s teraz 10KB/s a nawet mniej

do góry

Potwierdzam

09:49:21.031942 149.156.119.1.6667 > 80.53.62.82.58461: . [tcp sum ok] ack 2093393713
win 65535 (ttl 47, id 39426, len 40)
09:49:21.032020 80.53.62.82.58461 > 149.156.119.1.6667: R [tcp sum ok]
2093393713:2093393713(0) win 0 (DF) (ttl 64, id 0, len 40)
09:49:26.750974 149.156.119.1.6667 > 80.53.62.82.13492: . [tcp sum ok] ack 3277615905
win 65535 (ttl 46, id 39426, len 40)
09:49:26.751050 80.53.62.82.13492 > 149.156.119.1.6667: R [tcp sum ok]
3277615905:3277615905(0) win 0 (DF) (ttl 64, id 0, len 40)
09:49:32.424468 149.156.119.1.6667 > 80.53.62.82.31808: . [tcp sum ok] ack 2263990552
win 65535 (ttl 47, id 39426, len 40)
09:49:32.424539 80.53.62.82.31808 > 149.156.119.1.6667: R [tcp sum ok]
2263990552:2263990552(0) win 0 (DF) (ttl 64, id 0, len 40)

osobiście narazie zrobiłem dropa na adresy źródłowe 6667


On Thu, 26 Feb 2004 17:16:53 +0000, Piotr KUCHARSKI wrote:

> Witam,
>
> Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
> od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
> (bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
> schematu:
> - do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
> klientów
> - serwer nie ma takich połączeń, więc (oczywiście) odsyła RST
> - jednocześnie adresy klientów otrzymują pakiety ACK ze spoofowanym
> adresem źródłowym (wstawiane są adresy serwerów IRC.pl)
> - klienci nie mają takich połączeń, więc (oczywiście) odsyłają RST
>
> Co prawda to tylko dwukrotne wzmocnienie ataku, ale jest on dość
> niewygodny do eliminowania.
>
> Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
> takich przypadków swoim providerom, dobrze by było z kopią do
> CERT Polska.
> Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
> niestety sprawę utrudnia fakt, że w większości są spoza Polski.
>
> Ataki (D)DoS mają w porywach do 400Mbps, stąd mogą występować
> utrudnienia w dostępie do serwerów IRC.pl.
>
> p.

do góry

iluvatar <i...@d...net> napisał(a):

> osobiście narazie zrobiłem dropa na adresy źródłowe 6667

Nie lepiej stateful firewalla?

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Piotr KUCHARSKI <c...@s...waw.pl> nakibordził(a):

>od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów

Potwierdzam. Na tepsianym dslu:

09:52:10.776113 IP 149.156.119.1.6667 > 80.53.167.221.17991: . ack
4063649333 win 65535
09:52:10.776845 IP 149.156.119.1.6667 > 80.53.167.222.17992: . ack
4046937653 win 65535
09:52:12.829049 IP 149.156.119.1.6667 > 80.53.167.218.44614: . ack
1697288566 win 65535
09:52:12.829803 IP 149.156.119.1.6667 > 80.53.167.220.44618: . ack
1630441846 win 65535

Więc leci po różnych ipkach... oczywiście caly czas się to powtarza.
Jak zauważył Przemek Popielarski ID jest wszędzie identyczne:

09:55:47.503499 IP (tos 0x0, ttl 47, id 39426, offset 0, flags [none],
^^^^^^^^

>Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
>takich przypadków swoim providerom, dobrze by było z kopią do
>CERT Polska.
Poszło do abuse'a i certu.

ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
zrobiłem...

--
"Exec powinien działać, mazać partycje, uruchamiać jakieś fizdrygałki
a mój mi nie działa i tylko denerwuje."
/K. Puchatek/

do góry

Przemyslaw Frasunek <v...@p...na.niusy> wrote:
> iluvatar <i...@d...net> napisał(a):
>
>> osobiście narazie zrobiłem dropa na adresy źródłowe 6667
>
> Nie lepiej stateful firewalla?

lepiej, ale tablica stanów niestety ma ograniczona pojemność .. ;)

na poznan.irc.pl musiałem niestety z tego zrezygnować :(

pozdrawiam

--
/ irl: Bohdan 'Nexus' Horst | irc: Nexus \
{----------------------v-------^---------------}
\ http://irc.pl/nexus | mailto: nexus&irc.pl /

do góry

Bohdan Horst <n...@i...pl> napisał(a):

> lepiej, ale tablica stanów niestety ma ograniczona pojemność .. ;)

Ale mozna powiekszyc. Robilem kiedys testy ipf'a dla kilkudziesieciu
tysiecy polaczen.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Przemyslaw Frasunek <v...@p...na.niusy> wrote:
> Bohdan Horst <n...@i...pl> napisał(a):
>
>> lepiej, ale tablica stanów niestety ma ograniczona pojemność .. ;)
>
> Ale mozna powiekszyc. Robilem kiedys testy ipf'a dla kilkudziesieciu
> tysiecy polaczen.

ja miałem prawie milion .. :))

pozdrawiam

--
/ irl: Bohdan 'Nexus' Horst | irc: Nexus \
{----------------------v-------^---------------}
\ http://irc.pl/nexus | mailto: nexus&irc.pl /

do góry

W artykule <c...@r...dom.pl> Kamil 'Raczek' Raczyński napisał(a):
>
> ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
> zrobiłem...
>

IMHO lepiej dropować RST z/do ipka: 149.156.119.1:6667

--
Tomasz Paszkowski

do góry

U mnie to samo... kilka pakietow na minute na jeden konkretny numer IP...

Grzegorz

do góry

Kamil 'Raczek' Raczyński <e...@c...barg.cy> wrote:
> Piotr KUCHARSKI <c...@s...waw.pl> nakibordził(a):
>
>>od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
>
> Potwierdzam. Na tepsianym dslu:
>
> 09:52:10.776113 IP 149.156.119.1.6667 > 80.53.167.221.17991: . ack
> 4063649333 win 65535
> 09:52:10.776845 IP 149.156.119.1.6667 > 80.53.167.222.17992: . ack
> 4046937653 win 65535
> 09:52:12.829049 IP 149.156.119.1.6667 > 80.53.167.218.44614: . ack
> 1697288566 win 65535
> 09:52:12.829803 IP 149.156.119.1.6667 > 80.53.167.220.44618: . ack
> 1630441846 win 65535
>
> Więc leci po różnych ipkach... oczywiście caly czas się to powtarza.
> Jak zauważył Przemek Popielarski ID jest wszędzie identyczne:
>
> 09:55:47.503499 IP (tos 0x0, ttl 47, id 39426, offset 0, flags [none],
> ^^^^^^^^
>
>>Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
>>takich przypadków swoim providerom, dobrze by było z kopią do
>>CERT Polska.
> Poszło do abuse'a i certu.
>
> ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
> zrobiłem...

Pakiet wygląda tak:

15:34:44.667398 149.156.119.1.6667 > XXX.XXX.XXX.2.60935: . [tcp sum ok] ack
1191897193 win 65535 (ttl 53, id 39426, len 40)
15:34:44.667626 149.156.119.1.6667 > XXX.XXX.XXX.33.60940: . [tcp sum ok] ack
1108338793 win 65535 (ttl 53, id 39426, len 40)
15:34:44.667785 149.156.119.1.6667 > XXX.XXX.XXX.1.60934: . [tcp sum ok] ack
1208608873 win 65535 (ttl 53, id 39426, len 40)

Może coś w stylu:

iptables -A PREROUTING -m u32 -p tcp -s 149.156.119.1 --sport 6667 --u32
"0&0xFFFF=40&&4>>16=39426" -j DROP

albo wersja z INPUT+FORWARD dla osób które nie mogą używać PREROUTING w filter:

iptables -N IRC_KRAKOW
iptables -A IRC_KRAKOW -m u32 --u32 "0&0xFFFF=40&&4>>16=39426" -j DROP

iptables -A INPUT -p tcp -s 149.156.119.1 --sport 6667 -j IRC_KRAKOW
iptables -A FORWARD -p tcp -s 149.156.119.1 --sport 6667 -j IRC_KRAKOW



Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Linux Registered User: 189200
BSD Registered User: 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry