[LUGOS-SEC] Ugotavlanje vrste dDoS napada
Rok Krulec
Rok.Krulec at fpp.edu
Sat Aug 27 01:02:07 CEST 2005
Tole izgleda precej kot SYN flood, ceprav pravis, da ni.
Handsake:
C2S SYN paket
S postavi C v queue in mu poslje SYN/ACK
C poslje ACK, S ga zbrise iz queue in vzpostavi povezavo
SYN flood je napad na queue, pri cemer C ne naredi 3 koraka in tako zapolni queue
Rok Krulec
Portoroz/Slovenia, 27.Aug 2005 @ 00:52 CET
Antispam-TAG: PORTOROZ: Please include this line to all eMail You send to me, to prevent it being treated as SPAM.
On Sat, 27 Aug 2005, Miha Furlan wrote:
> Pred kratkim sem bil deležen 2 ddos napadov. Ker me zanimajo njihovi
> detajli, sem ves promet v mreži logiral. Ne morem ugotoviti, s čim je
> napadalec napade izvedel: vsi prejeti paketki so TCP in imajo nastavljen
> ACK flag. To mi ni znano. Google mi je vrnil le en rezultat, ki
> uporablja ta princip: to je stream DoS. Javni programi, napisani za ta
> napad, povzročijo drugačne paketke kot sem jih zabeležil. Je slučajno že
> kdo opazil tako vrsto napada? Paketki so konkretno prihajali iz ene same
> C klase IPjev, na vseh zombijih je tekel Linux. Vsak izmed računalnikov
> je pošiljal iz fiksnega source porta na naključne porte mojega
> strežnika. Ta je na paketke odgovarjal z RST.
>
> Je komurkoli na listi to obnašanje znano? Ni ne syn flood, ne UDP flood,
> in ne drdos. Glede na strukturo paketkov je imel napadalec verjetno root
> na zombijih (potreba po ustvarjanju raw paketkov). Vse zombije sem
> preskeniral, in na prvi pogled ne najdem nenavadnih odpritih portov
> (verjetnih backdoorov).
>
> Lep pozdrav,
> Miha Furlan
> _______________________________________________
> lugos-sec mailing list
> lugos-sec at lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>
>
More information about the lugos-sec
mailing list