Krzysztof Oledzki pisze:
> A teraz pomyśl że nie masz dostępu do takich logów, tak jak operator
> Polpaka. Co teraz? Jak poznasz że dane zapytanie DNS było częścią ataku?
Tego od nich nie oczekiwałem. Pisałem o tcp-syn floodzie. Chyba nietrudno
stwierdzić, że setny z kolei tcp-syn na port 22 z tego samego IP to DoS?
Szczególnie, gdy dst-ip te zapytania ignoruje?
>> Moim zdaniem zdecydowanie przejaskrawiasz ten domniemany problem z
>> tymczasowym
>> wycięciem kilkuset ipków.
> Ciągle zapominasz, że nie jesteś sam. OK, jako administrator swojej sieci
> możesz poświęcić dowolnie wiele czasu na odpieranie ataku. Będąc
> operatorem w takim jak Polpak nie masz już takiego komfortu - masz tysiące
> klientów, każdy ma jakieś problemy. Zostało zaproponowane rozwiązanie,
> które w dobrze zaprojektowanej sieci powinno zadziałać.
Ależ to nie wymaga poświęcenia dowolnej ilości czasu. To jest bardzo proste
i przeciętnie rozgarniętej osobie nie powinno zająć więcej niż kilka minut.
Ów specjalista więcej czasu stracił na opowiadanie głupot przez telefon.
> Kto poważny
> wchodzi na IRC z adresem, na którym znajdują się krytyczne dla pracy firmy
> usługi?
Na tym serwerze udostepniane są konta z dostepem do shella, więc przed
IRC-em nie ma jak się obronić.
>> Jeśli już nie potrafią zastosować bardziej sensownego
>> rozwiązania (przykłady podałem w innych postach) to mogliby zrobić
>> chociaż to.
> Podałeś im gotowe ip? Zasugerowałeś że przygotujesz aclki wg. ich zaleceń?
Nie mogłem połączyć się zdalnie z tym hostem, przecież był DoSowany.
-- Neas, ?eas@?eas.pl, http://www.neas.plReceived on Fri May 20 01:50:15 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 20 May 2005 - 02:40:04 MET DST