[linux] mozny DoS utok??,jak mam vystopovat mozneho utocnika?

Matus "fantomas" Uhlar uhlar na fantomas.sk
Sobota Květen 19 13:41:34 CEST 2001


-> vcera kolem 23:00 jsem  se prihlasil na nas web server,protoze nejak line
-> vyrizoval pozadavky...
-> Koukl jsem se na apacheclt status a zjistil jsem ,ze vsechni mozni potomci
-> jsou zaneprazdneni..
-> Provedl jsem restart apache a  behem chvile nebyl opet zadny potomek
-> volny...
-> pres netstat jsem zjistil ,ze asi 3/4 potomku obsluhuji IP 212.11.112.71
-> ( porty mezi  3070-3105  status FIN-WAIT)

no, z tej masiny asi niekto usilovne posielal poziadavky na apache, pozri sa
do logov ci aj nieco chcel ci len otvoril a hned zavrel spojenie...

-> 1) je to mozny DoS utok?

je to isty DoS utok. ked aj nie umyselny (chujovo nakonfigurovany klient,
proxy atd)

-> 4)jaky je obecny "doporuceny" postup,jak upozornit spravce prislusne
-> domeny,kde je attakujici stroj?(asi poslat
-> mail spravci prislusne domeny..ale kdyz nevim DNS nazev)

work# nslookup -q=soa 112.11.212.in-addr.arpa.
Server:  localhost
Address:  127.0.0.1

*** localhost can't find 112.11.212.in-addr.arpa.: Server failed
work# nslookup -q=soa 11.212.in-addr.arpa.
Server:  localhost
Address:  127.0.0.1

Authoritative answers can be found from:
212.in-addr.arpa
        origin = ns.ripe.net
        mail addr = ops.ripe.net
        serial = 2001051802
        refresh = 43200 (12H)
        retry   = 7200 (2H)
        expire  = 1209600 (2W)
        minimum ttl = 7200 (2H)

takze cez DNS to nejde. potom trema ako poradili ostatni vyskusat whois
databasy (whois.ripe.net, whois.apnic.net, whois.arin.net)

-> co kdyz na maily  spravce prislusne domeny nereaguje? ..co dal?

skusat dalej a dalej, adresy postmaster@, hostmaster@ pripadne root@
pozriet sa na www.cert.org co radia pripadne im reportnut problem.

-> 5)kdyz v apache zakazu prislusnou IP a dotycny to bude  zkouset dal..jak
-> moc to zatezuje apache?

rovnako ako by si to nechal tak. musis to zrisit na firewalli  na tvojej
masine pripadne na predradenom routeri pripadne na dalsich routerch (u
providera)

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 Linux IS user friendly, it's just selective who its friends are...



Další informace o konferenci linux