[Pluto-security] DOS attack

Filippo Basso filippo@zirak.it
Tue, 10 Sep 2002 10:47:27 +0200 

Ciao a tutti,
=09volevo chiedere un consiglio di tipo "DOS"...=20
supponiamo che io abbia una macchina secondaria linux con tipici servizi =
Web=20
(mail-http-dns) su ADSL; ora, vengo attaccato da un tizio simpatico, che=20
semplicemente satura il network con le sue stupide richieste a raffica su=
lla=20
porta 80 (richieste http di semplici files di dimensione di 1-20K, da un=20
simpatico Win NT, al ritmo di diverse al secondo).
Allora, per una configurazione standard (suse 7.2 - linux 2.4.18) tutta l=
a=20
rete locale sotto l'ADSL si blocca, e il tempo medio di un ping =E8 stabi=
le=20
attorno ai 6-8 secondi (quindi tutte le richieste andranno in timeout e t=
utti=20
i servizi sono irraggiungibili in ambo i sensi, da e verso internet).

Come fare?

1) Me ne accorgo, penso ad un problema di rete, capisco il problema, stac=
co la=20
spina al tizio che rompe le scatole...
2) inizio a pensare a proteggermi dai futuri attacchi
3) chiedo idee anche a pluto

Versione SOFT) Se il problema fosse limitato alla porta 80, =E8 una cosa =
molto=20
semplice, dato che uno script che verifica (ed elimina) la presenza di un=
 IP=20
rompiscatole nei log di apache degli ultimi 5 minuti non =E8 difficile...=
=20
quindi il problema =E8 risolto, al 50%.

Versione MEDIUM) A livello di kernel, linux pu=F2 aiutarmi a tracciare le=
 nuove=20
connessioni TCP o connessioni UDP, e da un log potrei rifare quello che h=
o=20
fatto sulla parte SOFT... sempre che i log non diventino troppo pesanti! =
C'=E8=20
un modo intelligente per tenere sotto occhio tutto?

Versione HARD) Cercare di lavorare a livello di kernel, per non permetter=
e ad=20
un singolo IP di consumare tutta la banda... diciamo che per un singolo I=
P di=20
classe 255.255.255.0 lascerei il 40% della banda (anche se mi piacerebbe=20
farlo in maniera da tagliarlo al 40% solo in presenza di altre connession=
i,=20
come gi=E0 fanno altri scheduler). Il problema =E8 il tracciare il singol=
o IP...

bene... spero proprio di poter fare 2 chiacchiere su questo argomento con=
=20
altri appassionati di questi problemi! Buona colazione e... a presto!!!

Filippo Basso

P.S. Immaginiamoci se questo succede su un HDSL a consumo!!! (2Mb/s signi=
fica=20
40EUR/h a saturazione, oppure 20EUR/h senza saturazione banda ma con=20
prosciugamento portafoglio !!!)
P.P.S. Anche se questo potrebbe accadere da pi=F9 IP, spero che per ora i=
l=20
problema si possa isolare a singoli IP dinamici che rompono le scatole...