[LUGOS] ddos

fRiK0 friko at owcka.com
Fri Jun 20 12:55:42 CEST 2003


Martin al ga pa dobis pa ga osebno po pesi ruknes...
Dogovor se da bos placal pa ga izsledi...
----- Original Message ----- 
From: "Martin" <martin at amadej.si>
To: <lugos-list at lugos.si>
Sent: Friday, June 20, 2003 12:44 PM
Subject: Re: [LUGOS] ddos


Spraševal sem po tehnični rešitvi.
Sicer pa zgleda da se je tehnika obnesla, skoraj vsi proxiji so banani in
strežnik lepo deluje. Vsaj dokler napadalec ne dobi novih proxijev ;-)
BTW hoče kdo 12k proxijev? Zakaj že? ;-)
Hm.. mogoče napadalcu z njegovimi proxiji spustimo isto? Eh, ne, ne gremo na
njegov nivo.
L.P.
-Martin

Dne petek 20. junija 2003 12:41 je Boštjan Jerko napisal(a):
> Potem pa kar trpi naprej
>
> On Fri, 20 Jun 2003 12:36:50 +0200
>
> Martin <martin at amadej.si> wrote:
> > Koga naj prijavi? Vseh 12k proxijev? Da so delali kaj, dostopali do
> > www strani? Dokazov razen osebnega priznanja, ki ga lahko zanika itak
> > nima. Pravni postopek bi trajal dolgo, vsekakor pa preveč časa in
> > oseba, katere dohodek je odvisen od delovanja tega strežnika bi
> > obubožala.
> >
> > L.P.
> > -Martin
> >
> > Dne petek 20. junija 2003 12:35 je Boštjan Jerko napisal(a):
> > > Hjah, kakšna prijava ponudniku internet-a "določene osebe" mogoče ne
> > > bi bila odveč. Sicer pa najbrž tožba oz. prijava pristojnim.
> > >
> > > B.
> > >
> > > On Fri, 20 Jun 2003 12:25:02 +0200
> > >
> > > Martin <martin at amadej.si> wrote:
> > > > Pozdrav
> > > >
> > > > Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
> > > >
> > > > Določena oseba (so jo izsledili a ne preko interneta) z več kot
> > > > 8000 http proxijev (toliko sem jih za admina napadenega strežnika
> > > > že bananal na firewalu) istočasno dostopa do strežnika in sicer na
> > > > port 80. Ker teče na portu 80 legitimni servis, vsi ti requesti
> > > > zgledajo kot legitimni promet, čeprav niso. Mašina počasi krepne,
> > > > ker ves memory požre apache. Sicer sem ubogemu adminu tega
> > > > stežnika napisal skripto, ki apacha kila in ponovno zažene, ko
> > > > doseže kritično mejo, ampak vseeno..
> > > >  Če bi bil ddos napad na kak port brez servisa ali pa icmp echo,
> > > >  bi lahko
> > > > promet avtomatično filtiral, tako pa vsakič ob filtriranju banam
> > > > tudi del legitimnega prometa (uporabnike s stalnimi IPji). Oseba,
> > > > ki ddosa pravi da bo prenehala, če ji lastnik strežnika plačuje
> > > > mesečno varščino. LOL. Dokler nisem poslušal telefonskega pogovora
> > > > nisem verjel, da se take stvari dogajajo pri nas ;-)
> > > > Prilagam še mikro izsek iz loga dostopov ;-)
> > > > ""snip
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3017
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3018
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3019
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3020
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 202.137.150.13:3143
> > > > ...
> > > > še cca 50 vrstic..
> > > > ...
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 213.78.149.77:3022
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 64.68.82.50:52704
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 202.137.150.13:3145
> > > > Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> > > > 216.39.48.79:48188
> > > > ""snip
> > > >
> > > > L.P.
> > > > -Martin






More information about the lugos-list mailing list