mozny DoS utok??,jak mam vystopovat mozneho utocnika?

Milan Kerslager milan.kerslager na spsselib.hiedu.cz
Sobota Květen 19 11:39:57 CEST 2001


On Sat, 19 May 2001, Jan Krnavek wrote:

> pres netstat jsem zjistil ,ze asi 3/4 potomku obsluhuji IP 212.11.112.71
> ( porty mezi  3070-3105  status FIN-WAIT)

whois -h whois.ripe.net 212.11.112.71 | less
[...]
inetnum:      212.11.110.0 - 212.11.113.255
netname:      FAIRNET-CZ-09
descr:        Internet service provider of net CZCOM-CZ
descr:        Hradec Kralove
country:      CZ
admin-c:      CCH4-RIPE
tech-c:       CCH4-RIPE
status:       ASSIGNED PA
mnt-by:       RIPE-NCC-NONE-MNT
changed:      miroslav.knechtl na cz.worldonline.com 20000519
source:       RIPE
[...]

> Zkousel jsem zjistit pres traceroute dns nazev,ale to neslo... Co bylo
> zajimave,ze kdyz jsem se chtel kouknout pres nmap,co to je za
> masinu(neuspesny pokus),tak pozadavky na apache ustaly... a byl
> klid:))
>
> Mam par otazek?
> 1) je to mozny DoS utok?

Asi ano.

> 2) pomoci jakych dalsich utilit muzu neco zjistit o stroji na Inetu?
> 3)co to znamena FIN-WAIT status???

Pokud je to FIN-WAIT1, tak se ceka, az druha strana potvrdi zadost o
uzavreni spojeni. Vas Apache odeslal data protistrane a poslal druhe
strane FIN a ta jeste neposlala zpet ACK (potvrzeni toho FIN), aby se u
vas preslo do stavu FIN-WAIT2 (pak je teprve timeout asi 10 minut, aby se
preslo automaticky do stavu CLOSED).

> 4)jaky je obecny "doporuceny" postup,jak upozornit spravce prislusne
> domeny,kde je attakujici stroj?(asi poslat mail spravci prislusne
> domeny..ale kdyz nevim DNS nazev) co kdyz na maily spravce prislusne
> domeny nereaguje? ..co dal?

Stezovat si u majitele prislusneho IP rozsahu adresa. Jak je videt vyse,
jedna se o providera v Hradci Kralove.

> 5)kdyz v apache zakazu prislusnou IP a dotycny to bude zkouset
> dal..jak moc to zatezuje apache?

To mozna nepomuze. Pouzil bych spise ipchains:

ipchains -I input 1 -s 212.11.112.71 -j DENY

Taky bych asi sahnul po portsentry, aby se to dalo delat automaticky.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/



Další informace o konferenci Linux