[LUGOS] ddos
Boštjan Jerko
bostjan.jerko at MF.UNI-LJ.SI
Fri Jun 20 12:41:33 CEST 2003
Potem pa kar trpi naprej
On Fri, 20 Jun 2003 12:36:50 +0200
Martin <martin at amadej.si> wrote:
> Koga naj prijavi? Vseh 12k proxijev? Da so delali kaj, dostopali do
> www strani? Dokazov razen osebnega priznanja, ki ga lahko zanika itak
> nima. Pravni postopek bi trajal dolgo, vsekakor pa preveč časa in
> oseba, katere dohodek je odvisen od delovanja tega strežnika bi
> obubožala.
>
> L.P.
> -Martin
>
> Dne petek 20. junija 2003 12:35 je Boštjan Jerko napisal(a):
> > Hjah, kakšna prijava ponudniku internet-a "določene osebe" mogoče ne
> > bi bila odveč. Sicer pa najbrž tožba oz. prijava pristojnim.
> >
> > B.
> >
> > On Fri, 20 Jun 2003 12:25:02 +0200
> >
> > Martin <martin at amadej.si> wrote:
> > > Pozdrav
> > >
> > > Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
> > >
> > > Določena oseba (so jo izsledili a ne preko interneta) z več kot
> > > 8000 http proxijev (toliko sem jih za admina napadenega strežnika
> > > že bananal na firewalu) istočasno dostopa do strežnika in sicer na
> > > port 80. Ker teče na portu 80 legitimni servis, vsi ti requesti
> > > zgledajo kot legitimni promet, čeprav niso. Mašina počasi krepne,
> > > ker ves memory požre apache. Sicer sem ubogemu adminu tega
> > > stežnika napisal skripto, ki apacha kila in ponovno zažene, ko
> > > doseže kritično mejo, ampak vseeno..
> > > Če bi bil ddos napad na kak port brez servisa ali pa icmp echo,
> > > bi lahko
> > > promet avtomatično filtiral, tako pa vsakič ob filtriranju banam
> > > tudi del legitimnega prometa (uporabnike s stalnimi IPji). Oseba,
> > > ki ddosa pravi da bo prenehala, če ji lastnik strežnika plačuje
> > > mesečno varščino. LOL. Dokler nisem poslušal telefonskega pogovora
> > > nisem verjel, da se take stvari dogajajo pri nas ;-)
> > > Prilagam še mikro izsek iz loga dostopov ;-)
> > > ""snip
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 213.78.149.77:3017
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 213.78.149.77:3018
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 213.78.149.77:3019
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 213.78.149.77:3020
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 202.137.150.13:3143
> > > ...
> > > še cca 50 vrstic..
> > > ...
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 213.78.149.77:3022
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 64.68.82.50:52704
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 202.137.150.13:3145
> > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > 216.39.48.79:48188
> > > ""snip
> > >
> > > L.P.
> > > -Martin
>
More information about the lugos-list
mailing list