[LUGOS-SEC] Ugotavlanje vrste dDoS napada
Miha Furlan
miha at furlan.biz
Sat Aug 27 00:41:09 CEST 2005
Pred kratkim sem bil deležen 2 ddos napadov. Ker me zanimajo njihovi
detajli, sem ves promet v mreži logiral. Ne morem ugotoviti, s čim je
napadalec napade izvedel: vsi prejeti paketki so TCP in imajo nastavljen
ACK flag. To mi ni znano. Google mi je vrnil le en rezultat, ki
uporablja ta princip: to je stream DoS. Javni programi, napisani za ta
napad, povzročijo drugačne paketke kot sem jih zabeležil. Je slučajno že
kdo opazil tako vrsto napada? Paketki so konkretno prihajali iz ene same
C klase IPjev, na vseh zombijih je tekel Linux. Vsak izmed računalnikov
je pošiljal iz fiksnega source porta na naključne porte mojega
strežnika. Ta je na paketke odgovarjal z RST.
Je komurkoli na listi to obnašanje znano? Ni ne syn flood, ne UDP flood,
in ne drdos. Glede na strukturo paketkov je imel napadalec verjetno root
na zombijih (potreba po ustvarjanju raw paketkov). Vse zombije sem
preskeniral, in na prvi pogled ne najdem nenavadnih odpritih portov
(verjetnih backdoorov).
Lep pozdrav,
Miha Furlan
More information about the lugos-sec
mailing list