polip: Re: ataki na sieć

Re: ataki na sieć

Autor: Krzysztof Oledzki (ole_at_a.ns.pl)
Data: Fri 27 Feb 2004 - 15:36:19 MET

Następna wiadomość: Zbigniew Sikora: "Re: NETIA ADSL"
Poprzednia wiadomość: Radosław Popławski: "Re: NETIA ADSL"
W odpowiedzi na: Racz_at_okapi.ict.pwr.wroc.pl: "Re: ataki na sieć"
Następna w wątku: Racz_at_okapi.ict.pwr.wroc.pl: "Re: ataki na sieć"
Odpowiedz: Racz_at_okapi.ict.pwr.wroc.pl: "Re: ataki na sieć"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Kamil 'Raczek' Raczyński <enpmrx_xnfxnqre_at_cbpmgn.barg.cy> wrote:
> Piotr KUCHARSKI <chopin_at_sgh.waw.pl> nakibordził(a):
>
>>od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
>
> Potwierdzam. Na tepsianym dslu:
>
> 09:52:10.776113 IP 149.156.119.1.6667 > 80.53.167.221.17991: . ack
> 4063649333 win 65535
> 09:52:10.776845 IP 149.156.119.1.6667 > 80.53.167.222.17992: . ack
> 4046937653 win 65535
> 09:52:12.829049 IP 149.156.119.1.6667 > 80.53.167.218.44614: . ack
> 1697288566 win 65535
> 09:52:12.829803 IP 149.156.119.1.6667 > 80.53.167.220.44618: . ack
> 1630441846 win 65535
>
> Więc leci po różnych ipkach... oczywiście caly czas się to powtarza.
> Jak zauważył Przemek Popielarski ID jest wszędzie identyczne:
>
> 09:55:47.503499 IP (tos 0x0, ttl 47, id 39426, offset 0, flags [none],
> ^^^^^^^^
>
>>Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
>>takich przypadków swoim providerom, dobrze by było z kopią do
>>CERT Polska.
> Poszło do abuse'a i certu.
>
> ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
> zrobiłem...

Pakiet wygląda tak:

15:34:44.667398 149.156.119.1.6667 > XXX.XXX.XXX.2.60935: . [tcp sum ok] ack 1191897193 win 65535 (ttl 53, id 39426, len 40)
15:34:44.667626 149.156.119.1.6667 > XXX.XXX.XXX.33.60940: . [tcp sum ok] ack 1108338793 win 65535 (ttl 53, id 39426, len 40)
15:34:44.667785 149.156.119.1.6667 > XXX.XXX.XXX.1.60934: . [tcp sum ok] ack 1208608873 win 65535 (ttl 53, id 39426, len 40)

Może coś w stylu:

iptables -A PREROUTING -m u32 -p tcp -s 149.156.119.1 --sport 6667 --u32 "0&0xFFFF=40&&4>>16=39426" -j DROP

albo wersja z INPUT+FORWARD dla osób które nie mogą używać PREROUTING w filter:

iptables -N IRC_KRAKOW
iptables -A IRC_KRAKOW -m u32 --u32 "0&0xFFFF=40&&4>>16=39426" -j DROP

iptables -A INPUT -p tcp -s 149.156.119.1 --sport 6667 -j IRC_KRAKOW
iptables -A FORWARD -p tcp -s 149.156.119.1 --sport 6667 -j IRC_KRAKOW

Pozdrawiam,

Krzysztof Oledzki

-- 
Krzysztof Olędzki
e-mail address:		ole(a-t)ans(d-o-t)pl
Linux Registered User:	189200
BSD Registered User:	51140
Nick Handles:		KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

Następna wiadomość: Zbigniew Sikora: "Re: NETIA ADSL"
Poprzednia wiadomość: Radosław Popławski: "Re: NETIA ADSL"
W odpowiedzi na: Racz_at_okapi.ict.pwr.wroc.pl: "Re: ataki na sieć"
Następna w wątku: Racz_at_okapi.ict.pwr.wroc.pl: "Re: ataki na sieć"
Odpowiedz: Racz_at_okapi.ict.pwr.wroc.pl: "Re: ataki na sieć"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:14:37 MET DST