Kada losi momci imaju vise moci nego dobri...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@soxxx
Nije offtopic. Ja sam izneo problem, i svaka informacija, zakljucak ili savet je dragocen.

@Peca
Ukoliko mislis da bi bilo dobro da sacekamo jos koji savet, ja sam ZA.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Soxxx je ovde objasnio kako se limitiraju konekcije po sekundi - http://www.mycity.rs/Linux-administracija/Anti-flo.....tml#458625

Soxxx, da li je ovo limit po svakoj IP adresi ponaosob, ili globalan limit?

Dopuna: 11 Jan 2007 23:00

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -i eth0 -j ACCEPT
kod mene ne daje nikakav rezultat.
zna li neko zasto?

da li treba prvo da se blokira icmp?
probao sam i to, isto bez rezultata.

Dopuna: 11 Jan 2007 23:07

ahm, radi...
-I umesto -A

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hoces iskren odgovor? Mozes da se odbranis na jedan nacin.
Da popricas sa tim haxorom ;-)

apache security anti-flood modovi , iptables mogu da pomognu kod ddosa manjih obima , manjih ip opsega i naravno manjeg broja zombie masina.
Kada na tebe nagrne toliko razlicitih masina ....to je kao da imas jedna vrata
a 100 000 ljudi oce odjednom da prodju kroz njih ti ih filtriras jednog po jednog ali oni non stop dolaze i sve vise se gomilaju i guse.

A taj uukoliko ima toliko zombija budi siguran da imas jos 3x vise
jel ako je uspeo da se spreada na 10 000 masina uspece i na vise i
tome nema kraja. Kada se stvari jak botnet situacija je sve gora.

mod_evasive je dobra stvar ali za napade manjeg obima. On jeste
projektovan za HTTP DDoS napade i brute force ali sa tolikom kolicinom zahteva i razlicitih hostova tesko da ce se izboriti.
A sta je sa CPU/bandwith resurisima za odbijanje tolike kolicine
req? Sam mod_evasive je veoma prost alat/modul. Ceo mehanizam
mu se sastoji od tipicnog blacklistovanja. Ukoliko se pronadje sema
req sa neke ip adrese vise puta u sekundi ip ce se blacklistovati
dj apache salje 403 respond code.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

"posto je njegov program i inace medju najboljim RK-detektorima (ako ne i najbolji)"

O kom se programu radi i gde može da se skine?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

pa u sustini se svodi sve na istu pricu - mozes da se odbranis donekle

sa primerom koji je dao soxxx mozes fino da usporis SYN flood, i da jednog po jednog stavljas na DENY.
e sad je pitanje koliko ce sam CPU da izdrzi iptables 'odbranu' [i on ima svoje buffere], i da li imas dovoljno veliki backbone da svi SYN paketi dodju do tvog servera.

ali, ajde da se proba na EV1, oni bi morali bar da uspore napad... osim ako te i oni ne odesku sa neta

ovde vazi ono pravilo - samo jaki opstaju.
sumnjam recimo da neko moze da obori MS sajt DDoS-om, jer MS ima papreno skupe rutere, jake masine, jaku mrezu......

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Upravo tako ako si jak opstaces ;-) Ako ne pregovaraj.

M$ pa tesko , trebao bi tu neki ngne worm i spread na nekih par stotinahiljada boxova i vise i to na neko krace vreme ;-)
Bas cu napisem neki paper o ovojt temi.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

BMW ::"posto je njegov program i inace medju najboljim RK-detektorima (ako ne i najbolji)"

O kom se programu radi i gde može da se skine?

Program se zove GMER, i trenutno se u javnosti ne postavljaju adrese o tome gde moze da se skine, vec se adrese daju ljudima samo preko mailova ili privatnih poruka ukoliko se pokaze potreba za time pri resavanju slucajeva kakve mi resavamo u Ambulanti.

@all
Prenecu vam ono sto mi je Gmer rekao kada sam mu preneo savete iz ove teme:
Napad je bio takav da vise nije mogao da pristupi Cisco PIX firewallu da mu promeni konfiguraciju. Firewall se uopste vise nije odazivao na komande koliko je bio uposljen, tako da sumnja da bi softversko resenje dalo neke bolje rezultate.

Dopuna: 11 Jan 2007 23:40

Trenutno radimo na tome da obavestimo ISP-ove sa cijih mreza dolaze napadi, da oni stupe u kontakt sa svojim korisnicima ciji su kompovi deo botneta.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Tesko cete uspeti u tome, ima ih on na hiljade.

Ako se sam Cisco topio - nemamo onda o cemu da pricamo

Dopuna: 11 Jan 2007 23:49

Peca ::Soxxx je ovde objasnio kako se limitiraju konekcije po sekundi - http://www.mycity.rs/Linux-administracija/Anti-flo.....tml#458625

Soxxx, da li je ovo limit po svakoj IP adresi ponaosob, ili globalan limit?

Molim samo Soxxxa da mi odgovori na ovo pitanje

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jel to ovaj GMER koji ne može nigde da se skine?

http://www.majorgeeks.com/GMER_d5198.html

Kao što vidite, inetrnet vam je čudo, ima i od popa gaće.


Džaba se mučite oko ovoga.
Još je 1977 godine Tarner, direktor CIA, na svedočenju pred Senatom javno rekao da je CIA vršila kontrolu uma ogromnog broja ljudi bez njihovog znanja i pristanka.

Pa šta tek danas rade sa ovim našim pišljivim mašinama

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@BMW
Na sledecem linku imas skroz dole listu mirrora:
http://www.antirootkit.com/software/Gmer.htm

Zadnja tri su bili moji mirrori. Onaj skroz zadnji mi opet radi, ali sam promenio ime foldera.
Oni sto su na listi obelezeni da jos rade - dobar deo njih je isto pao.
Imamo sada jos jedno 10 novih mirrora, ali samo za upotrebu na forumima.