Freesco, NND, CDN, EOS

Krotkie tlo historyczne:
Wczoraj napisal do mnie jakis koles, ze z mojego adresu IP zostal przeprowadzony atak DoS na jakiego komputer. Osoba ta laczy sie za pomoca neostardy, wiec polaczenie ma bezposrednie, ze tak powiem.
Przedstawil taki oto "log":


Jako ze nie byl wstanie podac swojego Ip to chyba nic nie moge zrobic?
Mam logowanie pakietów TCP - nic tam starsznego nie widze.
Podejrzewam ze ktos stal sie 'zombie' w mojej sieci.
Jesli tak - na co patrzec, co poradzic zeby tak sie nie dzialo (atak z wewnatrz sieci na zewnatrz?). Prosze o porady.

Z gory dziekuje & pozdrawiam[/code]

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

Jeśli nie podał ci swojego IP jakie miał w chwili ataku, to równie dobrze jak bym poszedł na policję zgłaszając kradzież samochodu i nie znał marki, koloru ani numeru rejestracyjnego.
Jeśli to Windows XP podłączony bezpośrednio do neo, to już świadczy o właścicielu, że musi być głupkiem.
Zapewne miał jakiś super-duper program w rodzaju zapora windows, czy darmową wersję zone alarm, najczęściej te programy niewiele dają, ale często drą ryja o zwykłego pinga. Niech ci podeśle jakieś logi.

_________________
Belfer.one.PL
Audio Cafe

No chyba msz racje Maciek.
Glupek i tyle -- logow raczej nie bedzie wiec chyba pozostaje pytanie:

Jesli faktycznie to byl jakis komputer z mojej sieci (zombie) to jak to wykryc?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

netstat-nat -n

pokaże Ci wszystkie aktualne połączenia.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Rada zciecha dobra... ale w chwili trwania zdarzenia, teraz nie wykryjesz raczej co się wtedy działo, chyba że faktycznie jakiś komputer coś dalej robi.
Na marginesie. Wiele osób ma na neostradzie dyndns. Jeśli np. będę chciał sprawdzić jakiś adres, a on właśnie zmieni IP (stare IP dostał jakiś windows), więc mogę próbować ping, wywołanie www, czy smtp - a windows xp będzie to uważał za atak.

_________________
Belfer.one.PL
Audio Cafe

Dzieki chlopaki za wszystkie porady

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

zainteresuj sie tcpdump i spisywaniem połączeń

_________________
Pozdrawiam

Jacq - przeczytaj uważnie pierwszy post
Czy atak DoS przebiega na protokole TCP ?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

barte-k napisal :

a TY poczytaj o tcpdump! jest to pakiet ktory rejestruje polaczenia wychodzace i przychodzace z twojego IP, majac czas i date szybko bys ustalil kto to byl a nawet IP jaki gosc mial wtedy.

hmmm w jaki sposób logujesz te "pakiety" ?

i tutaj muszę po części zgodzić się z rikardo. TCPdump loguje połączenia miedzy adresami wrac z datą i godziną, skoro ten ktoś w logu podaje ci dokładny czas ataku to po zerknięciu w log tcpdump-a wszystko powinno być jasne


Popatrz na internecie jakie usługi atakuje to będziesz wiedział z jakiego protokołu korzysta

_________________
Pozdrawiam

Chcialem byc mily ale widze ze sie nie da - w szczegolnosci mowie to do Ciebie rikardo7. A TY naucz sie czytac i myslec! Przeciez, napisalem, ze mam logowanie tcpdumpem - wiem, ze kazdy uzytkownik tego forum zaklada ze ten co zadaje pytanie jest glupszy od tego co odpowiada. Ale dalibyscie se siana. Specjalnie dla rikardo7:

1. mam logowanie z data i co do sekundy. a polaczen logowanych jest od kilku- do kilkudziesieciu na sekunde.
2. skad mam wiedziec, ze czas na komputerze "ofiary" jest taki sam jak na moim serwerze?
3. "ofiara" nie podala mi swojego ip z chwili "ataku"

Moj log jest zapisywany wg formatu:
[data][czas] [adres zrodlowy.port] -> [adres docelowy.port] [jakies duperele tcpdumpa]
teraz moge Ci dostarczyc log, pewnie wyciagniesz fusy i powrozysz? moze cos wyjdzie, nie?

Jacq: byl temat na form "Logowanie wszystkiego co przechodzi przez serwer", stamtad mam skrypt + odrobine moich modyfikacji.
Poza tym DoS przebiega po roznych protokolach i czyha na rozne uslugi.
Zwlaszcza, ze ofiara miala winxp nie sadze zeby bylo to cos powaznego (atak na WWW czy FTP) wiec mysle ze to byl zwykly ping, a w mojej konfiguracji tcpdump tego nie zaloguje (protokol ICMP)

Teraz juz chopaki mozecie odpoczac jak pomyslalem za Was.
Cheers.
Case closed.

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

I za siebie też mniemam dodać.

To że napisałeś "logowanie pakietów TCP" niekoniecznie musi równać się z tcpdumpem

Nie stresuj się tak bo naprawde krytyka ta wynika z nie do końca jasnego opisania problemu.

Ja bynajmniej nie miał zamiaru Cię "urazić" a jeżeli tak się poczułeś to Cie przepraszam...

_________________
Pozdrawiam

a jesli limitowanie pakietow tcp masz w tabeli filter to cie oszuka

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

ps. *logowanie pakietów tcp* - ja myślę tylko *tcpdump* wiec soryslaw magicy jak znacie inne sposoby.

Make everything as simple as possible, but not simpler
Any intelligent fool can make things bigger and more complex...

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

nie znamy, z tych korzystamy od dawna

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

barte-k napisal:

Sorki barte-k, ale jak wiekszosc na tym forum, nie umie czytac w cudzych myslach. i wcale nie chcialem cie obrazac.

Nic sie nie stało.
Ja też moglem sie bardziej doprecyzować.

Dzięki wszystkim za odpowiedzi i sugestie.
Z mojej strony temat zamknięty

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts