Autor: Piotr KUCHARSKI (chopin_at_sgh.waw.pl)
Data: Thu 26 Feb 2004 - 18:16:53 MET
Witam,
Oprócz zwykłych ataków (D)DoS przez flood UDP i ICMP na serwery IRC.pl,
od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
(bardzo prawdopodobne, że brane wprost z I:linii) wg następującego
schematu:
- do serwerów IRC.pl przychodzą pakiety ACK ze spoofowanym adresami
klientów
- serwer nie ma takich połączeń, więc (oczywiście) odsyła RST
- jednocześnie adresy klientów otrzymują pakiety ACK ze spoofowanym
adresem źródłowym (wstawiane są adresy serwerów IRC.pl)
- klienci nie mają takich połączeń, więc (oczywiście) odsyłają RST
Co prawda to tylko dwukrotne wzmocnienie ataku, ale jest on dość
niewygodny do eliminowania.
Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
takich przypadków swoim providerom, dobrze by było z kopią do
CERT Polska.
Spoofowane pakiety skądś przychodzą, trzeba znaleźć i uciąć;
niestety sprawę utrudnia fakt, że w większości są spoza Polski.
Ataki (D)DoS mają w porywach do 400Mbps, stąd mogą występować
utrudnienia w dostępie do serwerów IRC.pl.
p.
-- Beware of he who would deny you access to information, for in his heart he dreams himself your master. -- Commissioner Pravin Lal http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:14:34 MET DST