[linux] Co robit po utoku

[Jarry guru]

Peter Surda wrote:

> chcem sa spytat, ci existuje nejaka centrala ktora sa "stara
> o poriadok" v internete.

Jaj, keby si takeho ochotika nasiel, daj mi vediet! Mam pocit
ze na nedostatok prace by sa nemohol stazovat...

> Vcera totiz dakto robil udp flood attack na nas server
> z dvoch Cckovych subnetov. Ked som ich lokalizoval, provider
> to blokol, ale stihlo to sposobit problemy jednak nam a jednak
> jemu.

No tiez sa mi to par krat stalo a vlastne mas len dve moznosti:
- rychlo kontaktnut ISP a ten to odblokuje na vstupe k sebe
- alebo jednoducho len pockas kym "burka prehrmi"

BTW, ak na tom serveri nebezi named (nemal by), tak
predsa tvoj ISP moze udp cielovane na ten vas server natrvalo
vyblokovat uz na vstupe k sebe (obvykle dobre dimenzovane).
A vlastne vsetky, ktore idu na vasu siet okrem menneho servera.
Nespominam si, ze by este koli niecomu malo byt udp povolene...

> Skusenosti mi hovoria, ze ludia, ktorym dakto nainstaloval
> DDoS klienta vacsinou ani nevedia ze maju nejaky pocitac,

Tak to mas pravdu. Vacsinou su to sprostaci-amici s Win9x
na kabli/DSL ktori ani nevedia, ze im tam nieco bezi.

> pisat rootovi alebo na abuse je uplne zbytocne. Pisat ISP
> ktorym tie subnety patria prave robim, ale pochopitelne nie
> je iste, ze to pochadzalo skutocne od nich.

By som povedal, ze pisat ISP (teda lepsie povedane osobe,
ktora je v DN zazname ako responsible) sa oplati. A ak
neodpoveda, tak v tomto pripade by som natrvalo vyblokol
obe C-triedy. BTW, dost cudne, ze su to len 2 C-subnety...

Inak, by som na 99% tvrdil, ze source address nie su
spoofovane, aspon teda u Win95/98/NT to ani nejde (tak lahko).
Takze sa da naozaj pomerne dobre vystopovat, odkial to islo.

> Bolo to ozaj heavy, len incoming traffic nam totalne
> zahltil dvojmegabitovu linku.

"Heavy" flood dokaze polahky zahltit aj 512Mb linku.
Vid grc.com...

> Komu to mam teda hlasit? Alebo sa na organizacie vysrat
> a patrat na vlastnu past?

No znie to asi blbo, ale akurat tak na lamparen. Patrat
mozes, ak mas dost penazi. Pretoze ten "dobrak" moze byt
pokojne aj v Azii. Ale ak chces patrat, precitaj si ten
clanok Steva Gibsona na http://grc.com
Klobuk dolu pred tym, co sa jemu podarilo! Strucne
(pre tych co to nepoznaju):

Tiez ho niekto napadol DDoS-om, on pisal vsetkym
provajdrom masin, ktore ho atakovali, niekto nasiel
u seba toho "zombieho" a poslal mu ho, on ho "vypitval",
zistil si cez ktory irc-server komunikuju, nasadil
spy-bota, zachytil kopec informacii, no a zlaty klinec
bol ked sa ozval na tajnom irc-kanali rovno "bossovi"
ktory tie boty spravil. Teda, klobuk dole pred tym
chlapikom. Vynikajuce citanie, vrelo odporucam!

Jarry

-- 
Sent through GMX FreeMail - http://www.gmx.net