[Pluto-security] DOS attack
Dido
dido@sicurweb.com
Tue, 10 Sep 2002 11:15:56 +0200
Ciao.
Scusa, solo una cosa: non ho capito se il tipo che ti fa DoS =E8 interno=
alla=20
tua lan oppure no....
Se =E8 esterno, puoi agire in pi=F9 modi: ad esempio, puoi fare uno script=
che=20
verifica i log di apache se qualcuno di sta DoS'ssando, estrarne l'ip, e=20
aggiungere temporaneamente una entry iptables per bloccarlo. Questo per=F2=
ha=20
dei risvolti negativi: se il tipo scopre che hai automatizzato il tutto (e=
=20
se non =E8 scemo lo scopre subito), potebbe farti un DoS per peggiore=20
lanciandoti una serie di attacchi con IP spoofati. Se =E8 cattivo, potrebbe=
=20
fingere che le sue richieste vengono dall'ip dei root nameserver, e tu non=
=20
risolvi pi=F9 i nomi...altro problema di questo metodo =E8 che blocchi le=20
connessioni non da apache, per cui i socket aperti restano tali. Se fa=20
veramente tante connessioni da IP diversi, potresti rischiare di trovarti=20
con una marea di porte in half-open, e quindi non poter pi=F9 ricevere=20
connessioni (fino al timeout delle vecchie). Scusa se sono stato un po'=20
sbrigativo nella risposta, ma ci sarebe da scrivere un libro!
Altrimenti, potresti usare l'ip trovato e creare delle code CBQ tramite=20
iproute2, per limitare la banda a questo personaggio...
Ad ogni modo, tutti i consigli che ti do sono da considerarsi dei=20
palliativi: la primissima cosa da fare =E8 scoprire chi =E8, e attivare il=
suo=20
provider affinch=E8 gli venga bloccatala connettivit=E0.
Dido
Altrimenti, potresti
At 10.47 10/09/2002 +0200, you wrote:
>Ciao a tutti,
> volevo chiedere un consiglio di tipo "DOS"...
>supponiamo che io abbia una macchina secondaria linux con tipici servizi=
Web
>(mail-http-dns) su ADSL; ora, vengo attaccato da un tizio simpatico, che
>semplicemente satura il network con le sue stupide richieste a raffica=
sulla
>porta 80 (richieste http di semplici files di dimensione di 1-20K, da un
>simpatico Win NT, al ritmo di diverse al secondo).
>Allora, per una configurazione standard (suse 7.2 - linux 2.4.18) tutta la
>rete locale sotto l'ADSL si blocca, e il tempo medio di un ping =E8 stabile
>attorno ai 6-8 secondi (quindi tutte le richieste andranno in timeout e=
tutti
>i servizi sono irraggiungibili in ambo i sensi, da e verso internet).
>
>Come fare?
>
>1) Me ne accorgo, penso ad un problema di rete, capisco il problema,=20
>stacco la
>spina al tizio che rompe le scatole...
>2) inizio a pensare a proteggermi dai futuri attacchi
>3) chiedo idee anche a pluto
>
>Versione SOFT) Se il problema fosse limitato alla porta 80, =E8 una cosa=
molto
>semplice, dato che uno script che verifica (ed elimina) la presenza di un=
IP
>rompiscatole nei log di apache degli ultimi 5 minuti non =E8 difficile...
>quindi il problema =E8 risolto, al 50%.
>
>Versione MEDIUM) A livello di kernel, linux pu=F2 aiutarmi a tracciare le=
nuove
>connessioni TCP o connessioni UDP, e da un log potrei rifare quello che ho
>fatto sulla parte SOFT... sempre che i log non diventino troppo pesanti!=
C'=E8
>un modo intelligente per tenere sotto occhio tutto?
>
>Versione HARD) Cercare di lavorare a livello di kernel, per non permettere=
ad
>un singolo IP di consumare tutta la banda... diciamo che per un singolo IP=
di
>classe 255.255.255.0 lascerei il 40% della banda (anche se mi piacerebbe
>farlo in maniera da tagliarlo al 40% solo in presenza di altre connessioni,
>come gi=E0 fanno altri scheduler). Il problema =E8 il tracciare il singolo=
IP...
>
>bene... spero proprio di poter fare 2 chiacchiere su questo argomento con
>altri appassionati di questi problemi! Buona colazione e... a presto!!!
>
>Filippo Basso
>
>P.S. Immaginiamoci se questo succede su un HDSL a consumo!!! (2Mb/s=
significa
>40EUR/h a saturazione, oppure 20EUR/h senza saturazione banda ma con
>prosciugamento portafoglio !!!)
>P.P.S. Anche se questo potrebbe accadere da pi=F9 IP, spero che per ora il
>problema si possa isolare a singoli IP dinamici che rompono le scatole...