[LUGOS] ddos
Marko Bevc
fonzie at kibla.org
Sun Jun 22 10:15:21 CEST 2003
Se strinjam z prijavo pristojnim...
lp,
Marko
On Fri, 20 Jun 2003, Martin wrote:
> Pozdrav
>
> Zanima me, kako bi vi ukrepali v spodaj opisanem primeru.
>
> Določena oseba (so jo izsledili a ne preko interneta) z več kot 8000 http
> proxijev (toliko sem jih za admina napadenega strežnika že bananal na
> firewalu) istočasno dostopa do strežnika in sicer na port 80. Ker teče na
> portu 80 legitimni servis, vsi ti requesti zgledajo kot legitimni promet,
> čeprav niso. Mašina počasi krepne, ker ves memory požre apache. Sicer sem
> ubogemu adminu tega stežnika napisal skripto, ki apacha kila in ponovno
> zažene, ko doseže kritično mejo, ampak vseeno..
> Če bi bil ddos napad na kak port brez servisa ali pa icmp echo, bi lahko
> promet avtomatično filtiral, tako pa vsakič ob filtriranju banam tudi del
> legitimnega prometa (uporabnike s stalnimi IPji). Oseba, ki ddosa pravi da bo
> prenehala, če ji lastnik strežnika plačuje mesečno varščino. LOL. Dokler
> nisem poslušal telefonskega pogovora nisem verjel, da se take stvari dogajajo
> pri nas ;-)
> Prilagam še mikro izsek iz loga dostopov ;-)
> ""snip
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3017
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3018
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3019
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3020
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 202.137.150.13:3143
> ...
> še cca 50 vrstic..
> ...
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 213.78.149.77:3022
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 64.68.82.50:52704
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 202.137.150.13:3145
> Jun 20 12:26:35 TCP: http connection attempt to xx.xx.xx.xx from
> 216.39.48.79:48188
> ""snip
>
> L.P.
> -Martin
>
More information about the lugos-list
mailing list