Dzieki chlopaki za wszystkie porady
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| DoS http://forum.freesco.pl/viewtopic.php?f=8&t=15284 |
Strona 1 z 1 |
| Autor: | barte-k [ środa, 2 maja 2007, 20:39 ] |
| Tytuł: | DoS |
Krotkie tlo historyczne: Wczoraj napisal do mnie jakis koles, ze z mojego adresu IP zostal przeprowadzony atak DoS na jakiego komputer. Osoba ta laczy sie za pomoca neostardy, wiec polaczenie ma bezposrednie, ze tak powiem. Przedstawil taki oto "log": Cytuj: Źródłowy adres ip: 83.15.184.XX
Data, Czas: 01.05.2007 13:04:05 Mojego ip nie jestem w stanie podać bo łączę się przez Neostradę (zmienne ip). Otwarte programy to gadu-gadu i winamp Mój system Win XP SP2 Jako ze nie byl wstanie podac swojego Ip to chyba nic nie moge zrobic? Mam logowanie pakietów TCP - nic tam starsznego nie widze. Podejrzewam ze ktos stal sie 'zombie' w mojej sieci. Jesli tak - na co patrzec, co poradzic zeby tak sie nie dzialo (atak z wewnatrz sieci na zewnatrz?). Prosze o porady. Z gory dziekuje & pozdrawiam[/code] |
|
| Autor: | Maciek [ środa, 2 maja 2007, 21:46 ] |
| Tytuł: | |
Jeśli nie podał ci swojego IP jakie miał w chwili ataku, to równie dobrze jak bym poszedł na policję zgłaszając kradzież samochodu i nie znał marki, koloru ani numeru rejestracyjnego. Jeśli to Windows XP podłączony bezpośrednio do neo, to już świadczy o właścicielu, że musi być głupkiem. Zapewne miał jakiś super-duper program w rodzaju zapora windows, czy darmową wersję zone alarm, najczęściej te programy niewiele dają, ale często drą ryja o zwykłego pinga. Niech ci podeśle jakieś logi. |
|
| Autor: | barte-k [ czwartek, 3 maja 2007, 06:55 ] |
| Tytuł: | |
No chyba msz racje Maciek. Glupek i tyle -- logow raczej nie bedzie wiec chyba pozostaje pytanie: Jesli faktycznie to byl jakis komputer z mojej sieci (zombie) to jak to wykryc? |
|
| Autor: | zciech [ czwartek, 3 maja 2007, 11:08 ] |
| Tytuł: | |
netstat-nat -n pokaże Ci wszystkie aktualne połączenia. |
|
| Autor: | Maciek [ czwartek, 3 maja 2007, 11:57 ] |
| Tytuł: | |
barte-k pisze: Jesli faktycznie to byl jakis komputer z mojej sieci (zombie) to jak to wykryc?
Rada zciecha dobra... ale w chwili trwania zdarzenia, teraz nie wykryjesz raczej co się wtedy działo, chyba że faktycznie jakiś komputer coś dalej robi. Na marginesie. Wiele osób ma na neostradzie dyndns. Jeśli np. będę chciał sprawdzić jakiś adres, a on właśnie zmieni IP (stare IP dostał jakiś windows), więc mogę próbować ping, wywołanie www, czy smtp - a windows xp będzie to uważał za atak. |
|
| Autor: | barte-k [ czwartek, 3 maja 2007, 18:13 ] |
| Tytuł: | |
Dzieki chlopaki za wszystkie porady
|
|
| Autor: | Jacq [ piątek, 4 maja 2007, 00:12 ] |
| Tytuł: | |
zainteresuj sie tcpdump i spisywaniem połączeń |
|
| Autor: | barte-k [ piątek, 4 maja 2007, 06:45 ] |
| Tytuł: | |
Jacq - przeczytaj uważnie pierwszy post
Czy atak DoS przebiega na protokole TCP ? |
|
| Autor: | rikardo7 [ piątek, 4 maja 2007, 07:18 ] |
| Tytuł: | |
barte-k napisal : Cytuj: Jacq - przeczytaj uważnie pierwszy post
Czy atak DoS przebiega na protokole TCP ? a TY poczytaj o tcpdump! jest to pakiet ktory rejestruje polaczenia wychodzace i przychodzace z twojego IP, majac czas i date szybko bys ustalil kto to byl a nawet IP jaki gosc mial wtedy. |
|
| Autor: | Jacq [ piątek, 4 maja 2007, 10:03 ] |
| Tytuł: | |
Cytuj: Mam logowanie pakietów TCP - nic tam starsznego nie widze. hmmm w jaki sposób logujesz te "pakiety" ? i tutaj muszę po części zgodzić się z rikardo. TCPdump loguje połączenia miedzy adresami wrac z datą i godziną, skoro ten ktoś w logu podaje ci dokładny czas ataku to po zerknięciu w log tcpdump-a wszystko powinno być jasne  Cytuj: Czy atak DoS przebiega na protokole TCP ?
Popatrz na internecie jakie usługi atakuje to będziesz wiedział z jakiego protokołu korzysta
|
|
| Autor: | barte-k [ sobota, 5 maja 2007, 23:12 ] |
| Tytuł: | |
Chcialem byc mily ale widze ze sie nie da - w szczegolnosci mowie to do Ciebie rikardo7. A TY naucz sie czytac i myslec! Przeciez, napisalem, ze mam logowanie tcpdumpem - wiem, ze kazdy uzytkownik tego forum zaklada ze ten co zadaje pytanie jest glupszy od tego co odpowiada. Ale dalibyscie se siana. Specjalnie dla rikardo7: 1. mam logowanie z data i co do sekundy. a polaczen logowanych jest od kilku- do kilkudziesieciu na sekunde. 2. skad mam wiedziec, ze czas na komputerze "ofiary" jest taki sam jak na moim serwerze? 3. "ofiara" nie podala mi swojego ip z chwili "ataku" Moj log jest zapisywany wg formatu: [data][czas] [adres zrodlowy.port] -> [adres docelowy.port] [jakies duperele tcpdumpa] teraz moge Ci dostarczyc log, pewnie wyciagniesz fusy i powrozysz? moze cos wyjdzie, nie? Jacq: byl temat na form "Logowanie wszystkiego co przechodzi przez serwer", stamtad mam skrypt + odrobine moich modyfikacji. Poza tym DoS przebiega po roznych protokolach i czyha na rozne uslugi. Zwlaszcza, ze ofiara miala winxp nie sadze zeby bylo to cos powaznego (atak na WWW czy FTP) wiec mysle ze to byl zwykly ping, a w mojej konfiguracji tcpdump tego nie zaloguje (protokol ICMP) Teraz juz chopaki mozecie odpoczac jak pomyslalem za Was. Cheers. Case closed. |
|
| Autor: | Jacq [ sobota, 5 maja 2007, 23:34 ] |
| Tytuł: | |
Cytuj: Teraz juz chopaki mozecie odpoczac jak pomyslalem za Was.
I za siebie też mniemam dodać. To że napisałeś "logowanie pakietów TCP" niekoniecznie musi równać się z tcpdumpem
Nie stresuj się tak bo naprawde krytyka ta wynika z nie do końca jasnego opisania problemu. Ja bynajmniej nie miał zamiaru Cię "urazić" a jeżeli tak się poczułeś to Cie przepraszam... 
|
|
| Autor: | -MW- [ sobota, 5 maja 2007, 23:35 ] |
| Tytuł: | |
Cytuj: netstat-nat -n
pokaże Ci wszystkie aktualne połączenia. a jesli limitowanie pakietow tcp masz w tabeli filter to cie oszuka
|
|
| Autor: | barte-k [ sobota, 5 maja 2007, 23:45 ] |
| Tytuł: | |
ps. *logowanie pakietów tcp* - ja myślę tylko *tcpdump* wiec soryslaw magicy jak znacie inne sposoby. Make everything as simple as possible, but not simpler Any intelligent fool can make things bigger and more complex... |
|
| Autor: | -MW- [ sobota, 5 maja 2007, 23:56 ] |
| Tytuł: | |
nie znamy, z tych korzystamy od dawna
|
|
| Autor: | rikardo7 [ poniedziałek, 7 maja 2007, 13:02 ] |
| Tytuł: | |
barte-k napisal: Cytuj: ps. *logowanie pakietów tcp* - ja myślę tylko *tcpdump* wiec soryslaw magicy jak znacie inne sposoby.
Sorki barte-k, ale jak wiekszosc na tym forum, nie umie czytac w cudzych myslach. i wcale nie chcialem cie obrazac.
|
|
| Autor: | barte-k [ poniedziałek, 7 maja 2007, 15:40 ] |
| Tytuł: | |
Nic sie nie stało. Ja też moglem sie bardziej doprecyzować. Dzięki wszystkim za odpowiedzi i sugestie. Z mojej strony temat zamknięty
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|