[ LUGOS ] DoS?

Andrej Presern andrejp na luz.fe.uni-lj.si
Čet Mar 26 16:45:37 CET 1998 

David Klasinc wrote:
> 
> Banzai!
> 
> Imam dva problema...
> 
> Mar 24 23:48:52 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 24 23:50:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 24 23:52:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 24 23:56:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 24 23:58:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 25 00:00:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 25 00:02:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> Mar 25 00:06:28 capybara kernel: ICMP: failed checksum from 209.49.51.197!
> 
> Tega je v logih na tone, hm megabajte :)) Kaj se da ukrenit proti temu?
> 
> Naslednja zadeva je pa tale:
> Mar 25 15:51:09 capybara kernel: Warning: possible SYN flooding. Sending cookie
> Mar 25 15:51:12 capybara kernel: Warning: possible SYN flooding. Sending cookie
> Mar 25 15:51:13 capybara kernel: validated probe(441008a4, 89e02c1, 2077, 80, -192278241)
> Mar 25 15:51:13 capybara kernel: validated probe(57142399, 89e02c1, 1542, 80, 158678831)
> 
> Tegale je v logih tudi noro velik, pravzaprav, je vceraj od 15:51 pa do
> 21:32 samo tole v logih, recimo vsake deset sekund po ene deset vrstic
> tega sranja... Dokler se bogi masini ni zmesalo in se je sesula... :(
>  A je kak nacin, da se ugotovi od kje se to pocne? Ali pa da se nekako
> tega ubrani?

Vidim, da te ta tezava muci ze kar nekaj casa, in vedno je prisoten en
in isti IP. Poskusi preveriti, za kaksno masino gre in kje se ta masina
nahaja. Glede na to, da imas sporocila o morebitnem SYN floodanju, to
pomeni, da se je nanjo v kratkem casu poskusilo priklopiti vecje stevilo
clientov. Ali morda na masini laufas kaksne IRC bote? V tem primeru se
ne bi cudil, ce bi te zasuvali s kaksnega botneta. V vsakem primeru
poskusi malo povecati nadzor in logiranje mreznih protokolov in
servisov, tako da bos lahko ugotovil vsaj okoliscine, v katerih se ti to
dogaja.

Drugace bi me pa zanimalo, kateri kernel tece na capybari. Kolikor sem
seznanjen z zadevo, namrec masine ne bi smele logirati napak pri
checksumih (slovenski prevod?), to konkretno sporocilo pa je vklopljeno
le v 2.1 seriji kernelov zaradi odpravljanja morebitnih napak (zato
predvidevam, da imas 2.1.x kernel?).

Andrej

-- 
Andrej Presern, andrejp na luz.fe.uni-lj.si

Dodatne informacije o seznamu Starilist