Autor: Adam (adam_at_bluu.net)
Data: Wed 07 Jan 2004 - 00:16:14 MET
Uzytkownik "Przemyslaw Frasunek" <venglin-usenet_at_freebsd.lublin.pl> napisal
w wiadomosci news:86smislluk.fsf_at_lagoon.freebsd.lublin.pl...
> Jestem klientem Netii. Moja siec stala sie ostatnio bardzo czesta
> ofiara atakow DDoS. Domyslam sie, ze jeden z uzytkownikow komus
> podpadl, nie zmienia to faktu, ze jest to bardzo meczace dla
> wszystkich. Charakterystyka ataku jest bardzo typowa: ogromny synflood
> na port 22, 80 lub 113 ktoregos z hostow, ktory powoduje absolutne
> zatkanie lacza. Dzisiaj atak byl szczegolnie mocny, odbil sie silnie
> na innych klientach Netii przylaczonych do tego samego access
> routera/switcha FR, nie dzialaly nawet lubelskie dial-upy Netii
> w tym czasie. Zrodlem ataku jest prawie zawsze kilkaset maszyn
> z Polski, wszystkie z systemami Win* lub za NATami, 90% na iDSLach
> i Neostradach. Zgloszenia do abuse@ u atakujacych operatorow
> praktycznie nie pomagaja, TPSA odeslala typowa odpowiedz, Multimedia
> natomiast profilaktycznie zablokowala cale moje /24. Proby zglaszania
> ataku do Netii takze nie przynosza rezultatu -- ACLe i shaping nie
> moga byc zalozone ze wzgledu na grozbe przeciazenia routerow.
a nie jest to czesem blester i temu podobne ?
sledzac dzialanie "tego czegos" zauwazylem ze codzien jest zmiana klasy IP
ktore sa atakowane
zauwazylem (obserwuje pare dni) ze ataki sa na porty 113, 6667, 135, 445
44**
mozliwe ze na inne tez
potwierdzaloby to zrodlo tych atakow ... wiadomo Neo + winda + luser = wrog
publiczny nr 1 ...
moze w netii by jednak filtrowali przynajmniej 135 ? albo niech rusza 4
litery, wytna klase 80 i 83 ;-)
-- Adam
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:20 MET DST