mozny DoS utok??,jak mam vystopovat mozneho utocnika?
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Sobota Květen 19 11:39:57 CEST 2001
On Sat, 19 May 2001, Jan Krnavek wrote:
> pres netstat jsem zjistil ,ze asi 3/4 potomku obsluhuji IP 212.11.112.71
> ( porty mezi 3070-3105 status FIN-WAIT)
whois -h whois.ripe.net 212.11.112.71 | less
[...]
inetnum: 212.11.110.0 - 212.11.113.255
netname: FAIRNET-CZ-09
descr: Internet service provider of net CZCOM-CZ
descr: Hradec Kralove
country: CZ
admin-c: CCH4-RIPE
tech-c: CCH4-RIPE
status: ASSIGNED PA
mnt-by: RIPE-NCC-NONE-MNT
changed: miroslav.knechtl na cz.worldonline.com 20000519
source: RIPE
[...]
> Zkousel jsem zjistit pres traceroute dns nazev,ale to neslo... Co bylo
> zajimave,ze kdyz jsem se chtel kouknout pres nmap,co to je za
> masinu(neuspesny pokus),tak pozadavky na apache ustaly... a byl
> klid:))
>
> Mam par otazek?
> 1) je to mozny DoS utok?
Asi ano.
> 2) pomoci jakych dalsich utilit muzu neco zjistit o stroji na Inetu?
> 3)co to znamena FIN-WAIT status???
Pokud je to FIN-WAIT1, tak se ceka, az druha strana potvrdi zadost o
uzavreni spojeni. Vas Apache odeslal data protistrane a poslal druhe
strane FIN a ta jeste neposlala zpet ACK (potvrzeni toho FIN), aby se u
vas preslo do stavu FIN-WAIT2 (pak je teprve timeout asi 10 minut, aby se
preslo automaticky do stavu CLOSED).
> 4)jaky je obecny "doporuceny" postup,jak upozornit spravce prislusne
> domeny,kde je attakujici stroj?(asi poslat mail spravci prislusne
> domeny..ale kdyz nevim DNS nazev) co kdyz na maily spravce prislusne
> domeny nereaguje? ..co dal?
Stezovat si u majitele prislusneho IP rozsahu adresa. Jak je videt vyse,
jedna se o providera v Hradci Kralove.
> 5)kdyz v apache zakazu prislusnou IP a dotycny to bude zkouset
> dal..jak moc to zatezuje apache?
To mozna nepomuze. Pouzil bych spise ipchains:
ipchains -I input 1 -s 212.11.112.71 -j DENY
Taky bych asi sahnul po portsentry, aby se to dalo delat automaticky.
--
Milan Kerslager
E-mail: milan.kerslager na spsselib.hiedu.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux