ddos
Martin
martin at amadej.si
Fri Jun 20 12:25:02 CEST 2003
Pozdrav
Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
Določena oseba (so jo izsledili a ne preko interneta) z več kot 8000 http
proxijev (toliko sem jih za admina napadenega strežnika že bananal na
firewalu) istočasno dostopa do strežnika in sicer na port 80. Ker teče na
portu 80 legitimni servis, vsi ti requesti zgledajo kot legitimni promet,
čeprav niso. Mašina počasi krepne, ker ves memory požre apache. Sicer sem
ubogemu adminu tega stežnika napisal skripto, ki apacha kila in ponovno
zažene, ko doseže kritično mejo, ampak vseeno..
Če bi bil ddos napad na kak port brez servisa ali pa icmp echo, bi lahko
promet avtomatično filtiral, tako pa vsakič ob filtriranju banam tudi del
legitimnega prometa (uporabnike s stalnimi IPji). Oseba, ki ddosa pravi da bo
prenehala, če ji lastnik strežnika plačuje mesečno varščino. LOL. Dokler
nisem poslušal telefonskega pogovora nisem verjel, da se take stvari dogajajo
pri nas ;-)
Prilagam še mikro izsek iz loga dostopov ;-)
""snip
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
213.78.149.77:3017
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
213.78.149.77:3018
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
213.78.149.77:3019
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
213.78.149.77:3020
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
202.137.150.13:3143
...
še cca 50 vrstic..
...
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
213.78.149.77:3022
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
64.68.82.50:52704
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
202.137.150.13:3145
Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
216.39.48.79:48188
""snip
L.P.
-Martin
More information about the lugos-list
mailing list