[LUGOS] ddos
Boštjan Jerko
bostjan.jerko at MF.UNI-LJ.SI
Fri Jun 20 12:35:43 CEST 2003
Hjah, kakšna prijava ponudniku internet-a "določene osebe" mogoče ne bi
bila odveč. Sicer pa najbrž tožba oz. prijava pristojnim.
B.
On Fri, 20 Jun 2003 12:25:02 +0200
Martin <martin at amadej.si> wrote:
> Pozdrav
>
> Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
>
> Določena oseba (so jo izsledili a ne preko interneta) z več kot 8000
> http proxijev (toliko sem jih za admina napadenega strežnika že
> bananal na firewalu) istočasno dostopa do strežnika in sicer na port
> 80. Ker teče na portu 80 legitimni servis, vsi ti requesti zgledajo
> kot legitimni promet, čeprav niso. Mašina počasi krepne, ker ves
> memory požre apache. Sicer sem ubogemu adminu tega stežnika napisal
> skripto, ki apacha kila in ponovno zažene, ko doseže kritično mejo,
> ampak vseeno..
> Če bi bil ddos napad na kak port brez servisa ali pa icmp echo, bi
> lahko
> promet avtomatično filtiral, tako pa vsakič ob filtriranju banam tudi
> del legitimnega prometa (uporabnike s stalnimi IPji). Oseba, ki ddosa
> pravi da bo prenehala, če ji lastnik strežnika plačuje mesečno
> varščino. LOL. Dokler nisem poslušal telefonskega pogovora nisem
> verjel, da se take stvari dogajajo pri nas ;-)
> Prilagam še mikro izsek iz loga dostopov ;-)
> ""snip
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3017
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3018
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3019
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3020
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 202.137.150.13:3143
> ...
> še cca 50 vrstic..
> ...
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3022
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 64.68.82.50:52704
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 202.137.150.13:3145
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 216.39.48.79:48188
> ""snip
>
> L.P.
> -Martin
More information about the lugos-list
mailing list