[Pluto-security] DOS attack

Filippo Basso filippo@zirak.it
Tue, 10 Sep 2002 19:25:53 +0200 

> Se =E8 cattivo, potrebbe
> fingere che le sue richieste vengono dall'ip dei root nameserver, e tu =
non
> risolvi pi=F9 i nomi...

Posso bloccare solo la porta 80... comunque pu=F2 eugualmente rompere met=
tendosi=20
un IP di un proxy molto usato, e bloccare la navigazione di diversi utent=
i.

> altro problema di questo metodo =E8 che blocchi le
> connessioni non da apache, per cui i socket aperti restano tali. Se fa
> veramente tante connessioni da IP diversi, potresti rischiare di trovar=
ti
> con una marea di porte in half-open, e quindi non poter pi=F9 ricevere
> connessioni (fino al timeout delle vecchie).

Questo =E8 peggiore, ed =E8 per questo che intendevo solo tagliargli le g=
ambe con=20
una CBQ o cose simili...
Sarebbe buono se si potesse limitare la banda direttamente dal kernel,=20
indicando numero di connessioni/sec e pacchetti/sec per-IP... mi chiedevo=
 se=20
qualcuno di voi avesse gi=E0 guardato in tale direzione, tanto per non pe=
rdere=20
troppo tempo a  fare una cosa gi=E0 nota o gi=E0 che si sa non funzionare=
=2E

> Ad ogni modo, tutti i consigli che ti do sono da considerarsi dei
> palliativi: la primissima cosa da fare =E8 scoprire chi =E8, e attivare=
 il suo
> provider affinch=E8 gli venga bloccatala connettivit=E0.

Beh, guarda un po' che ho trovato riferito al bell'IP 146.133.224.2:

----------------------------------
OrgName:    ENEL S.p.A.
OrgID:      ENELSP

NetRange:   146.133.0.0 - 146.133.255.255
CIDR:       146.133.0.0/16
NetName:    ENEL-NET
NetHandle:  NET-146-133-0-0-1
Parent:     NET-146-0-0-0-0
NetType:    Direct Assignment
NameServer: DNS.SSI.ENEL.IT
NameServer: BDNS.SSI.ENEL.IT
Comment:
RegDate:    1991-02-08
Updated:    1999-08-17

TechHandle: SR262-ARIN
TechName:   Regaglia, Stefano
TechPhone:  +39-2-72247714
TechEmail:  regaglia.stefano@enel.it
----------------------------------
Per ora ho spedito una mail al TechHandle, ma non penso che faranno nulla=
!!!
bye, e grazie per il tempestivo riscontro (si vede che si parla di=20
OpenSource!),
=09Filippo