Neas <n...@n...invalid> wrote:
> Krzysztof Oledzki pisze:
>
> > A teraz pomyśl że nie masz dostępu do takich logów, tak jak operator
> > Polpaka. Co teraz? Jak poznasz że dane zapytanie DNS było częścią ataku?
>
> Tego od nich nie oczekiwałem. Pisałem o tcp-syn floodzie. Chyba nietrudno
> stwierdzić, że setny z kolei tcp-syn na port 22 z tego samego IP to DoS?
Zależy w jakim czasie. Kilku userów zza tego samego nata, starając się
połączyć w czasie takiego ataku, dość szybko może wygenerować sto SYNów.
Ja np. nie wziąłym na siebie odpowiedzialności podejmowania decyzji, jaki
IP mam klientowi zablkować. Szczególnie że klient nie zgadza się na
zablokowanie portu.

> Szczególnie, gdy dst-ip te zapytania ignoruje?
Dlaczego? I skąd to wiadomo?

> >> Moim zdaniem zdecydowanie przejaskrawiasz ten domniemany problem z
> >> tymczasowym
> >> wycięciem kilkuset ipków.
> > Ciągle zapominasz, że nie jesteś sam. OK, jako administrator swojej sieci
> > możesz poświęcić dowolnie wiele czasu na odpieranie ataku. Będąc
> > operatorem w takim jak Polpak nie masz już takiego komfortu - masz tysiące
> > klientów, każdy ma jakieś problemy. Zostało zaproponowane rozwiązanie,
> > które w dobrze zaprojektowanej sieci powinno zadziałać.
> Ależ to nie wymaga poświęcenia dowolnej ilości czasu. To jest bardzo proste
> i przeciętnie rozgarniętej osobie nie powinno zająć więcej niż kilka minut.
> Ów specjalista więcej czasu stracił na opowiadanie głupot przez telefon.
O tam. Poświęcił swój czas dla Ciebie. To też coś.

> > Kto poważny
> > wchodzi na IRC z adresem, na którym znajdują się krytyczne dla pracy firmy
> > usługi?
> Na tym serwerze udostepniane są konta z dostepem do shella, więc przed
> IRC-em nie ma jak się obronić.
Coś takiego jak firewall nie funkcjonuje na tym serwerze?

> >> Jeśli już nie potrafią zastosować bardziej sensownego
> >> rozwiązania (przykłady podałem w innych postach) to mogliby zrobić
> >> chociaż to.
> > Podałeś im gotowe ip? Zasugerowałeś że przygotujesz aclki wg. ich zaleceń?
> Nie mogłem połączyć się zdalnie z tym hostem, przecież był DoSowany.
Nie masz jakiegoś backupowego dojścia do sieci na wypadak awarii?
Neostrada, DSL, modem, alboco? To chyba nie jest jakaś krytyczna
sieć i serwer. ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry

Krzysztof Oledzki pisze:

>> Tego od nich nie oczekiwałem. Pisałem o tcp-syn floodzie. Chyba nietrudno
>> stwierdzić, że setny z kolei tcp-syn na port 22 z tego samego IP to DoS?
> Zależy w jakim czasie. Kilku userów zza tego samego nata, starając się
> połączyć w czasie takiego ataku, dość szybko może wygenerować sto SYNów.
> Ja np. nie wziąłym na siebie odpowiedzialności podejmowania decyzji, jaki
> IP mam klientowi zablkować. Szczególnie że klient nie zgadza się na
> zablokowanie portu.

Lepszy problem z jednym klientem niż ze wszystkimi. Z resztą takie
rozwiązanie byłoby z zasady tymczasowe, bo oczywiście bezsensem byłoby
filtrowanie konkretnych IP z takiego ataku na dłuższy czas.

>> Szczególnie, gdy dst-ip te zapytania ignoruje?
> Dlaczego? I skąd to wiadomo?

Nie rozumiem. Skoro w kierunku ip:port idzie np. 100 mbit, a z ip:port nie
wychodzi niemal nic, to chyba wyraźnie to widać? :)

>> Na tym serwerze udostepniane są konta z dostepem do shella, więc przed
>> IRC-em nie ma jak się obronić.
> Coś takiego jak firewall nie funkcjonuje na tym serwerze?

W dziesiejszych czasach mało kto niestety potrzebuje konta z dostepem do
shella i bez dostepu do IRC.

>> Nie mogłem połączyć się zdalnie z tym hostem, przecież był DoSowany.
> Nie masz jakiegoś backupowego dojścia do sieci na wypadak awarii?

Niestety nie.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Tue, 10 May 2005 22:46:57 +0200, użyszkodnik Neas <n...@n...invalid>
napisał:

> Pewien irc-kiddie DDoS-ował mnie dzisiaj dość natarczywie

nic porostszego jak wyłaczyć to w cholere (dostep do polskich serverów
irc-netu), od razu ilosc problemów zmniejsza się w sposób znaczacy a
te należy likwidować w zarodku a nie szukać winnych kiedy jest juz o
duzo za późno

> i jak to zwykle
> bywa w takich sytuacjach postanowiłem zadzwonić do polpaku.

czym wykazałeś że dysponujesz nadmiarem wolnego czasu

> to sens, ale ten powtarzał dalej swoje. W końcu zaczął mnie irytować, więc
> delikatnie zasugerowałem, ze skoro płacę za łącze to powinno działać i że
> generalnie on jest od tego, żeby znaleźć rozwiązanie. Odpowiedział, że nie
> ma tego w umowie

i bardzo słusznie, użeranie się z użyszkodnikami którzy wymagają
zrobienia mu rzeczy których nie przewiduje umowa argumentując
gówniarskim "płace i wymagam gwiazdki z nieba" to dla niego
codzienność i się nie dziwie że w końcu zaczął postepowac zgodnie z
tym od czego jest







--
futszaK
ja pół dnia topilem smutki w cynie i kalafonii
(c)Vovcia

do góry

futszaK pisze:

> i bardzo słusznie, użeranie się z użyszkodnikami którzy wymagają
> zrobienia mu rzeczy których nie przewiduje umowa argumentując
> gówniarskim "płace i wymagam gwiazdki z nieba" to dla niego
> codzienność i się nie dziwie że w końcu zaczął postepowac zgodnie z
> tym od czego jest

Czyli od czego jest? No słucham.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry