[LUGOS] ddos

[Marko Bevc]

Se strinjam z prijavo pristojnim...

lp,
Marko
On Fri, 20 Jun 2003, Martin wrote:

> Pozdrav
> 
> Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
> 
> Določena oseba (so jo izsledili a ne preko interneta) z več kot 8000 http 
> proxijev (toliko sem jih za admina napadenega strežnika že bananal na 
> firewalu) istočasno dostopa do strežnika in sicer na port 80. Ker teče na 
> portu 80 legitimni servis, vsi ti requesti zgledajo kot legitimni promet, 
> čeprav niso. Mašina počasi krepne, ker ves memory požre apache. Sicer sem 
> ubogemu adminu tega stežnika napisal skripto, ki apacha kila in ponovno 
> zažene, ko doseže kritično mejo, ampak vseeno..
>  Če bi bil ddos napad na kak port brez servisa ali pa icmp echo, bi lahko 
> promet avtomatično filtiral, tako pa vsakič ob filtriranju banam tudi del 
> legitimnega prometa (uporabnike s stalnimi IPji). Oseba, ki ddosa pravi da bo 
> prenehala, če ji lastnik strežnika plačuje mesečno varščino. LOL. Dokler 
> nisem poslušal telefonskega pogovora nisem verjel, da se take stvari dogajajo 
> pri nas ;-)
> Prilagam še mikro izsek iz loga dostopov ;-)
> ""snip
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 213.78.149.77:3017
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 213.78.149.77:3018
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 213.78.149.77:3019
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 213.78.149.77:3020
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 202.137.150.13:3143
> ...
> še cca 50 vrstic..
> ...
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 213.78.149.77:3022
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 64.68.82.50:52704
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 202.137.150.13:3145
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from 
> 216.39.48.79:48188
> ""snip
> 
> L.P.
> -Martin
>