[LUGOS-SEC] Ugotavlanje vrste dDoS napada

[Iztok Umek]

> Pred kratkim sem bil deležen 2 ddos napadov. Ker me zanimajo njihovi
> detajli, sem ves promet v mreži logiral. Ne morem ugotoviti, s čim je
> napadalec napade izvedel: vsi prejeti paketki so TCP in imajo nastavljen
> ACK flag. To mi ni znano. Google mi je vrnil le en rezultat, ki
> uporablja ta princip: to je stream DoS. Javni programi, napisani za ta
> napad, povzročijo drugačne paketke kot sem jih zabeležil. Je slučajno že
> kdo opazil tako vrsto napada? Paketki so konkretno prihajali iz ene same
> C klase IPjev, na vseh zombijih je tekel Linux. Vsak izmed računalnikov
> je pošiljal iz fiksnega source porta na naključne porte mojega
> strežnika. Ta je na paketke odgovarjal z RST.
> 
> Je komurkoli na listi to obnašanje znano? Ni ne syn flood, ne UDP flood,
> in ne drdos. Glede na strukturo paketkov je imel napadalec verjetno root
> na zombijih (potreba po ustvarjanju raw paketkov). Vse zombije sem
> preskeniral, in na prvi pogled ne najdem nenavadnih odpritih portov
> (verjetnih backdoorov).


Miha,

Ce imas moznost, mi prosim poslji tcpdump napada na moj naslov iztoku (at)
radware.com.

Rad bi pogledal detalje le tega, da vidim, kaj bi v tem primeru naredil nas
DOS filter. 

Je pa tako, da imajo pri the vrstah DoS napada strezniki (tudi
usmerjevalniki in pozarni zidovi) probleme, saj ne prenesejo nekaj tisoc
floodov na sekundo. Pri nas preprecitev delamo malce drugace in zato nimamo
problemov z omejitvami, ki jih povzroca CPU procesiranje takih napadov.

Meni to, kar si opisal spominja na mstream.

http://staff.washington.edu/dittrich/misc/mstream.analysis.txt

Lepo te se enkrat prosim, ce mi tcpdump zipnes in posljes na zgornji naslov.

Disclaimer: Delam za proizvajalca vodilnega "preprecevalca" DoS napadov.