"DoS" z lokalni site

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Červenec 15 12:38:44 CEST 2001 

On Fri, 13 Jul 2001, Jan Povolny wrote:

> Mame malou sit, na ni Linux server s proxy squidem. Ten klasicky loguje a 
> kazdy tyden je log vyhodonocovan a smazan (je dost velky). Dnes si jeden 
> klucina na siti nainstaloval "skvelou" Spedii a protoze ma pres den 
> zakazany pristup, zacal squid generovat hafo denied pristupu na spedia.com. 

To vite, ohlasit chybu je "uzivatelsky neprivetive". Mnohem lepsi je to
zkusit znovu, pokud mozno co nejrychleji, a navenek se tvarit, ze se nic
nedeje. Kdyz uz nic jineho, tak vysledne plytvani kapacitou aspon podpori
prodej noveho hardwaru, ze ano. To jsou ty moderni trendy v softwarovem
prumyslu. :)

(Delam si legraci jen napul. Skutecne se dneska nebezpecne mnozi programy,
ktere naprosto ignoruji dobre sitove mravy, a kdyz je nejaky sitovy server
posle do haje, tak je nenapadne nic lepsiho, nez to okamzite zkusit znovu.
Muj soukromy zebricek v soucasne dobe vede "Mala Mekka Vymena (tm)", ktera
opakovala kazdych 30 sekund pokusy o poslani mailu, i kdyz od serveru
pokazde dostavala permanentni chybu (5xx)!!! Na druhem miste je blize
neidentifikovana mnozina POP3 klientu, ktere nejsou chopny uzivateli
oznamit, ze zadane jmeno a heslo server neprijima, a proste to zkousi
znovu, asi co kdyby si to server rozmyslel.)

> Chtel jsem se zeptat, jak se branit, ikdyz jsem ho vyhodil z squid.conf, 
> stale se pokousel a dostaval denied, pak me napadlo ho vyhodit z DHCP 
> serveru, ale zabralo to jen na chvili (dal si sam svoje cisla),

U vas si smi lidi svevolne nastavovat na svem pocitaci IP adresu? (Po
pravde receno mam zkusenost s tim, ze kdyz si lidi snazi nastavit IP
adresu sami, tak to stejne aspon v polovine pripadu udelaji blbe, takze
je lepsi to obycenym smrtelnikum zakazat.)

> Windows jsem shodit nemohl hosts.allow take nezabiraji, jedna se prece
> o jine sluzby.

Misto hosts.allow by mozna slo pouzit ipchains nebo neco takoveho.

> Ted uz je to vyresene, pohrozil jsem mu osobne a on to pochopil, ani 
> nevedel, ze dela problemy.

V pripade, ze vite, na koho se obratit, je dobre dotycneho informovat.
Kdyz uz nic jineho, tak aspon bude vedet, ze pripadne omezeni jeho
konektivity neni porucha, ale reakce na nevhodne chovani jeho pocitace, a 
tim predejit tomu, aby se to v dobre vire snazil nejak obejit (lepe
receno je pak takova snaha jednoznacne pritezujici okolnost).

> Je nejaky jednoduchy zpusob, krom vytazeni kabelu, jak toto odvratit?

Vytazeni kabelu pripadne ekvivaletni operace (vypnuti portu na hubu nebo
switchi) je jednoducha a efektivni metoda, jak se zbavit pocitace, co dela
neplechu, zvlaste kdyz to muzete udelat primo ze sveho bezneho pracoviste.
(Nektere zvlaste vzdorne kombinace uzivatel+pocitac stejne nejde
pacifikovat jinym zpusobem.)

Jinak nelze rict, ze by nejaky jednoduchy zpusob existoval. V podstate
musite provest tri ruzne cinnosti: detekovat utok (budu to nazyvat utok, 
i kdyz je to casto zpusobeno neumyslne nejakym pomylenym BFU), urcit
co nejspecificteji pachatele utoku (aby "nevinni" trpeli co nejmene) a
utok zastavit. Ani jedno z toho neni tak uplne snadne. Nejsem si vedom, ze
by kdokoli kdekoli mel nejake ucelenejsi reseni, i kdyz existuje rada vice
ci mene polovicatych opatreni, ktera mohou -- v pripade, ze jsou vhodne
zkombinovana -- celkem pomoci. Mezi takova castecna opatreni patri:

- rozdeleni prostoru na disku pomoci oddilu nebo diskovych kvot tak, aby
  jeden zesilevsi subsystem neodstrelil ostatni,

- omezeni spotreby virtualni pameti atd. pomoci rlimitu a omezeni
  poctu procesu, ktere muze dany subsystem spustit,

- automaticke rotovani logu v pripade, ze dosahnou urcite velikosti,
  a la daemontools,

- automaticke filtrovani logu a odstranovani zjevne nadbytecnych hlasek
  (napr. syslog dela to, ze kdyz se po sobe objevi nekolik hlaseni, ktera
  jsou (az na casovy udaj) uplne stejna, tak vypise jen prvni z nich a
  misto zbytku napise jen "last message repeated N times"...idealni to
  neni, ale aspon se o neco snazi),

- prubezne monitorovani systemu a vyhlaseni poplachu v pripade, ze se
  objevi nebezpecny stav (napr. pokles mista na disku pod urcitou mez)
  nebo trend (napr. se rychlost zmensovani mista na disku prekroci
  urcitou mez).

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux