[LUGOS] ddos
Martin
martin at amadej.si
Fri Jun 20 12:44:58 CEST 2003
Spraševal sem po tehnični rešitvi.
Sicer pa zgleda da se je tehnika obnesla, skoraj vsi proxiji so banani in
strežnik lepo deluje. Vsaj dokler napadalec ne dobi novih proxijev ;-)
BTW hoče kdo 12k proxijev? Zakaj že? ;-)
Hm.. mogoče napadalcu z njegovimi proxiji spustimo isto? Eh, ne, ne gremo na
njegov nivo.
L.P.
-Martin
Dne petek 20. junija 2003 12:41 je Boštjan Jerko napisal(a):
> Potem pa kar trpi naprej
>
> On Fri, 20 Jun 2003 12:36:50 +0200
>
> Martin <martin at amadej.si> wrote:
> > Koga naj prijavi? Vseh 12k proxijev? Da so delali kaj, dostopali do
> > www strani? Dokazov razen osebnega priznanja, ki ga lahko zanika itak
> > nima. Pravni postopek bi trajal dolgo, vsekakor pa preveč časa in
> > oseba, katere dohodek je odvisen od delovanja tega strežnika bi
> > obubožala.
> >
> > L.P.
> > -Martin
> >
> > Dne petek 20. junija 2003 12:35 je Boštjan Jerko napisal(a):
> > > Hjah, kakšna prijava ponudniku internet-a "določene osebe" mogoče ne
> > > bi bila odveč. Sicer pa najbrž tožba oz. prijava pristojnim.
> > >
> > > B.
> > >
> > > On Fri, 20 Jun 2003 12:25:02 +0200
> > >
> > > Martin <martin at amadej.si> wrote:
> > > > Pozdrav
> > > >
> > > > Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
> > > >
> > > > Določena oseba (so jo izsledili a ne preko interneta) z več kot
> > > > 8000 http proxijev (toliko sem jih za admina napadenega strežnika
> > > > že bananal na firewalu) istočasno dostopa do strežnika in sicer na
> > > > port 80. Ker teče na portu 80 legitimni servis, vsi ti requesti
> > > > zgledajo kot legitimni promet, čeprav niso. Mašina počasi krepne,
> > > > ker ves memory požre apache. Sicer sem ubogemu adminu tega
> > > > stežnika napisal skripto, ki apacha kila in ponovno zažene, ko
> > > > doseže kritično mejo, ampak vseeno..
> > > > Če bi bil ddos napad na kak port brez servisa ali pa icmp echo,
> > > > bi lahko
> > > > promet avtomatično filtiral, tako pa vsakič ob filtriranju banam
> > > > tudi del legitimnega prometa (uporabnike s stalnimi IPji). Oseba,
> > > > ki ddosa pravi da bo prenehala, če ji lastnik strežnika plačuje
> > > > mesečno varščino. LOL. Dokler nisem poslušal telefonskega pogovora
> > > > nisem verjel, da se take stvari dogajajo pri nas ;-)
> > > > Prilagam še mikro izsek iz loga dostopov ;-)
> > > > ""snip
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3017
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3018
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3019
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3020
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 202.137.150.13:3143
> > > > ...
> > > > še cca 50 vrstic..
> > > > ...
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3022
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 64.68.82.50:52704
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 202.137.150.13:3145
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 216.39.48.79:48188
> > > > ""snip
> > > >
> > > > L.P.
> > > > -Martin
More information about the lugos-list
mailing list