Re: lug-bg: Странна атака
- Subject: Re: lug-bg: Странна атака
- From: raptor <raptor@xxxxxxxxxx>
- Date: Sat, 27 Mar 2004 23:40:47 +0200
towa move da e e Welchia , generira ping paketi s razmer 92 bytes...
iptables -A FORWARD -p icmp -m length --length 92 -j DROP
iptables -A INPUT -p icmp -m length --length 92 -j DROP
ima weroqtnost ako si na LAN i ti e po slaba machinkata da klekne...!! pone sam chuwal za takiwa sluchai.
goreshto preporychwam da polzwash dynfw (wiv na gentoo.org za podrobnosti)..
Towa sa nqkolko shell scripta za emergency situacii kato tozi .. ipdrop,tcplimit ..etc..
> Здравейте,
>
> Картинката е локално мрежа с много клиенти. Има един gateway с две мрежови карти извършващ nat, shaping, firewall и т.н. Клиентският мрежов сегмент е с адресно пространство 192.168.0.0/24.
>
> Днес имах странна случка. Изведнъж пинговете към интернет се вдигнаха ужасно много. При опит да се логна с ssh резултата беше неуспешен, след пускане на ping до 192.168.0.1 (gateway-ят) ping-а беше над 100. След известно време се оправи и успях да се логна. Отварям си IP traf-а следя Ip traffic monitor и гледам конекциите на интерфейса eth1 (192.168.0.1) Изглеждаше всичко нормално. След минутка IPTraf-а ми заспа и почна да се движи супер бавно, т.е. машината отново лаг-на за около 5 след като се оправи видях, че за няколко секунди имаше над 2500 конекции с статус S. Source адресите бяха различни от тези които са в мрежовият сегмент 192.168.0.0/24 като за всяка конекция сорс адреса беше напълно различен при една почваше с 80, при друга с 213 и т.н. Destination адреса беше един и същ, на порта 80. Такова нещо виждам за първи път. Случва се за по 15 sec и през това време машината лагва и интернета почти спира. У нас създадох подобна ситуация с два компютъра. На единият слжих п
р!
> оизволен IP адрес, различен от мреожвият сегмент на другият компютър. Зададах default gateway на този компютър в сегмента в който му сложих адреса и сложих статичен mac адрес на този фалшив gateway като този мак е адреса на картата на другиян компютър. После в мозилата написах произволен IP адрес и гледах в iptraf-а на другият компютър, появи се source адреса който е от друг сегменат и конекция със статус S.
>
> Не съм обянил много добре защото не мога да се изразявам с думи, надявам се да сте ме разбрали. Как си обяснявате тази атака и по какъв начин мога да и противодействам и да открия кой прави мизериите. Ако продължава това ще направя миграция към PPPoE. Много ме е страх да не е някакйв нов вирус от сорта на w32 защото ще стане много кофти.
>
> поздрави, Стефан
>
>
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|