[LUGOS-SEC] Ugotavlanje vrste dDoS napada

Miha Furlan miha at furlan.biz
Sat Aug 27 01:33:20 CEST 2005 

To popolnoma razumem, vendar bi bili pri tem floodu lepo opazni dohodni 
SYN paketki, ali sem kaj zgrešil? Iz zombijev so prihajali le ACK 
paketki. Zato je tudi moj server odgovarjal z RST (ker paketi niso bili 
del nobene povezave).

Druga možnost, ali moje napačno razumevanje?

Rok Krulec wrote:

>Tole izgleda precej kot SYN flood, ceprav pravis, da ni.
>
>Handsake:
>C2S SYN paket
>S postavi C v queue in mu poslje SYN/ACK
>C poslje ACK, S ga zbrise iz queue in vzpostavi povezavo
>
>SYN flood je napad na queue, pri cemer C ne naredi 3 koraka in tako zapolni queue
>
>Rok Krulec
>
>Portoroz/Slovenia, 27.Aug 2005 @ 00:52 CET
>Antispam-TAG: PORTOROZ: Please include this line to all eMail You send to me, to prevent it being treated as SPAM.
>
>On Sat, 27 Aug 2005, Miha Furlan wrote:
>
>  
>
>>Pred kratkim sem bil deležen 2 ddos napadov. Ker me zanimajo njihovi
>>detajli, sem ves promet v mreži logiral. Ne morem ugotoviti, s čim je
>>napadalec napade izvedel: vsi prejeti paketki so TCP in imajo nastavljen
>>ACK flag. To mi ni znano. Google mi je vrnil le en rezultat, ki
>>uporablja ta princip: to je stream DoS. Javni programi, napisani za ta
>>napad, povzročijo drugačne paketke kot sem jih zabeležil. Je slučajno že
>>kdo opazil tako vrsto napada? Paketki so konkretno prihajali iz ene same
>>C klase IPjev, na vseh zombijih je tekel Linux. Vsak izmed računalnikov
>>je pošiljal iz fiksnega source porta na naključne porte mojega
>>strežnika. Ta je na paketke odgovarjal z RST.
>>
>>Je komurkoli na listi to obnašanje znano? Ni ne syn flood, ne UDP flood,
>>in ne drdos. Glede na strukturo paketkov je imel napadalec verjetno root
>>na zombijih (potreba po ustvarjanju raw paketkov). Vse zombije sem
>>preskeniral, in na prvi pogled ne najdem nenavadnih odpritih portov
>>(verjetnih backdoorov).
>>
>>Lep pozdrav,
>>Miha Furlan
>>_______________________________________________
>>lugos-sec mailing list
>>lugos-sec at lugos.si
>>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>>
>>
>>    
>>
>_______________________________________________
>lugos-sec mailing list
>lugos-sec at lugos.si
>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>  
>

More information about the lugos-sec mailing list