[LUGOS] ddos
Martin
martin at amadej.si
Fri Jun 20 12:36:50 CEST 2003
Koga naj prijavi? Vseh 12k proxijev? Da so delali kaj, dostopali do www
strani? Dokazov razen osebnega priznanja, ki ga lahko zanika itak nima.
Pravni postopek bi trajal dolgo, vsekakor pa preveč časa in oseba, katere
dohodek je odvisen od delovanja tega strežnika bi obubožala.
L.P.
-Martin
Dne petek 20. junija 2003 12:35 je Boštjan Jerko napisal(a):
> Hjah, kakšna prijava ponudniku internet-a "določene osebe" mogoče ne bi
> bila odveč. Sicer pa najbrž tožba oz. prijava pristojnim.
>
> B.
>
> On Fri, 20 Jun 2003 12:25:02 +0200
>
> Martin <martin at amadej.si> wrote:
> > Pozdrav
> >
> > Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
> >
> > Določena oseba (so jo izsledili a ne preko interneta) z več kot 8000
> > http proxijev (toliko sem jih za admina napadenega strežnika že
> > bananal na firewalu) istočasno dostopa do strežnika in sicer na port
> > 80. Ker teče na portu 80 legitimni servis, vsi ti requesti zgledajo
> > kot legitimni promet, čeprav niso. Mašina počasi krepne, ker ves
> > memory požre apache. Sicer sem ubogemu adminu tega stežnika napisal
> > skripto, ki apacha kila in ponovno zažene, ko doseže kritično mejo,
> > ampak vseeno..
> > Če bi bil ddos napad na kak port brez servisa ali pa icmp echo, bi
> > lahko
> > promet avtomatično filtiral, tako pa vsakič ob filtriranju banam tudi
> > del legitimnega prometa (uporabnike s stalnimi IPji). Oseba, ki ddosa
> > pravi da bo prenehala, če ji lastnik strežnika plačuje mesečno
> > varščino. LOL. Dokler nisem poslušal telefonskega pogovora nisem
> > verjel, da se take stvari dogajajo pri nas ;-)
> > Prilagam še mikro izsek iz loga dostopov ;-)
> > ""snip
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 213.78.149.77:3017
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 213.78.149.77:3018
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 213.78.149.77:3019
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 213.78.149.77:3020
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 202.137.150.13:3143
> > ...
> > še cca 50 vrstic..
> > ...
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 213.78.149.77:3022
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 64.68.82.50:52704
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 202.137.150.13:3145
> > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > 216.39.48.79:48188
> > ""snip
> >
> > L.P.
> > -Martin
More information about the lugos-list
mailing list