[linux] mozny DoS utok??,jak mam vystopovat mozneho utocnika?
carcass
carcass na gmx.net
Sobota Květen 19 12:07:51 CEST 2001
Jan Krnavek(krnavek na seznam.cz)@Sat, May 19, 2001 at 01:47:18AM +0200:
> Zdravim,
>
> Ze zivota...
> vcera kolem 23:00 jsem se prihlasil na nas web server,protoze nejak line
> vyrizoval pozadavky...
> Koukl jsem se na apacheclt status a zjistil jsem ,ze vsechni mozni potomci
> jsou zaneprazdneni..
> Provedl jsem restart apache a behem chvile nebyl opet zadny potomek
> volny...
> pres netstat jsem zjistil ,ze asi 3/4 potomku obsluhuji IP 212.11.112.71
> ( porty mezi 3070-3105 status FIN-WAIT)
> Zkousel jsem zjistit pres traceroute dns nazev,ale to neslo...
> Co bylo zajimave,ze kdyz jsem se chtel kouknout pres nmap,co to je za
> masinu(neuspesny pokus),tak pozadavky na apache
> ustaly... a byl klid:))
> PS:zkousel to na apache min 0.5hod
>
>
> Mam par otazek?
> 1) je to mozny DoS utok?
> 2) pomoci jakych dalsich utilit muzu neco zjistit o stroji na Inetu?
najskor asi skusit nslookup, potom whois, traceroute
> 3)co to znamena FIN-WAIT status???
tvoja strana caka na ukoncenie spojenia, ale druha strana neodpoveda
> 4)jaky je obecny "doporuceny" postup,jak upozornit spravce prislusne
> domeny,kde je attakujici stroj?(asi poslat
> mail spravci prislusne domeny..ale kdyz nevim DNS nazev)
> co kdyz na maily spravce prislusne domeny nereaguje? ..co dal?
> 5)kdyz v apache zakazu prislusnou IP a dotycny to bude zkouset dal..jak moc
> to zatezuje apache?
preco v apachi ? ja by som ho celeho odfiltroval - aspon na cas. Server
by to nezatazilo vobec - maximalne linku by mohol zatazit, ak na to ma.
konkretne pre FIN-WAIT mozes trochu znizit hodnotu v
/proc/sys/net/ipv4/tcp_fin_timeout - ale rozumnejsie by asi bolo
nainstalit nejaky IDS. Dost vela informacii o tychto veciach najdes na
http://packetstorm.securify.com
A ked si myslis ze si na tom lepsie ako utocnik (co sa tyka hw a linky),
preco by si mu to nemal vratit ? TFN2k (Tribe FloodNet 2k) a podobne
veci by sa mali dat skompilovat aj pre windoozy, a cast podnikovej siete
zapojena do distribuovaneho utoku na utocnika (heh, dobre to znie) ma
pravdepodobne vacsi potencial ako samotny utocnik. IMHO len velmi malo
utocnikov bude mat moznosti/schopnosti zistit co sa vlastne deje a nieco
s tym urobit. Preco by sme sa mali LEN branit ???
--
carcass
<*===============*>
carcass na gmx.net
Další informace o konferenci linux