Kada losi momci imaju vise moci nego dobri...

2

Kada losi momci imaju vise moci nego dobri...

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

@soxxx
Nije offtopic. Ja sam izneo problem, i svaka informacija, zakljucak ili savet je dragocen.

@Peca
Ukoliko mislis da bi bilo dobro da sacekamo jos koji savet, ja sam ZA.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23072
  • Gde živiš: Niš

Soxxx je ovde objasnio kako se limitiraju konekcije po sekundi - http://www.mycity.rs/Linux-administracija/Anti-flo.....tml#458625

Soxxx, da li je ovo limit po svakoj IP adresi ponaosob, ili globalan limit?

Dopuna: 11 Jan 2007 23:00

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -i eth0 -j ACCEPT
kod mene ne daje nikakav rezultat.
zna li neko zasto?

da li treba prvo da se blokira icmp?
probao sam i to, isto bez rezultata.

Dopuna: 11 Jan 2007 23:07

ahm, radi...
-I umesto -A Mr. Green



offline
  • Pridružio: 05 Jun 2003
  • Poruke: 2075
  • Gde živiš: MaYur CitY

Hoces iskren odgovor? Mozes da se odbranis na jedan nacin.
Da popricas sa tim haxorom ;-)

apache security anti-flood modovi , iptables mogu da pomognu kod ddosa manjih obima , manjih ip opsega i naravno manjeg broja zombie masina.
Kada na tebe nagrne toliko razlicitih masina ....to je kao da imas jedna vrata
a 100 000 ljudi oce odjednom da prodju kroz njih ti ih filtriras jednog po jednog ali oni non stop dolaze i sve vise se gomilaju i guse.

A taj uukoliko ima toliko zombija budi siguran da imas jos 3x vise
jel ako je uspeo da se spreada na 10 000 masina uspece i na vise i
tome nema kraja. Kada se stvari jak botnet situacija je sve gora.

mod_evasive je dobra stvar ali za napade manjeg obima. On jeste
projektovan za HTTP DDoS napade i brute force ali sa tolikom kolicinom zahteva i razlicitih hostova tesko da ce se izboriti.
A sta je sa CPU/bandwith resurisima za odbijanje tolike kolicine
req? Sam mod_evasive je veoma prost alat/modul. Ceo mehanizam
mu se sastoji od tipicnog blacklistovanja. Ukoliko se pronadje sema
req sa neke ip adrese vise puta u sekundi ip ce se blacklistovati
dj apache salje 403 respond code.

offline
  • BMW 
  • Ugledni građanin
  • Pridružio: 25 Mar 2005
  • Poruke: 314

"posto je njegov program i inace medju najboljim RK-detektorima (ako ne i najbolji)"

O kom se programu radi i gde može da se skine?

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23072
  • Gde živiš: Niš

pa u sustini se svodi sve na istu pricu - mozes da se odbranis donekle smešak

sa primerom koji je dao soxxx mozes fino da usporis SYN flood, i da jednog po jednog stavljas na DENY.
e sad je pitanje koliko ce sam CPU da izdrzi iptables 'odbranu' [i on ima svoje buffere], i da li imas dovoljno veliki backbone da svi SYN paketi dodju do tvog servera.

ali, ajde da se proba na EV1, oni bi morali bar da uspore napad... osim ako te i oni ne odesku sa neta Very Happy

ovde vazi ono pravilo - samo jaki opstaju.
sumnjam recimo da neko moze da obori MS sajt DDoS-om, jer MS ima papreno skupe rutere, jake masine, jaku mrezu......

offline
  • Pridružio: 05 Jun 2003
  • Poruke: 2075
  • Gde živiš: MaYur CitY

Upravo tako ako si jak opstaces ;-) Ako ne pregovaraj.

M$ pa tesko , trebao bi tu neki ngne worm i spread na nekih par stotinahiljada boxova i vise i to na neko krace vreme ;-)
Bas cu napisem neki paper o ovojt temi.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

BMW ::"posto je njegov program i inace medju najboljim RK-detektorima (ako ne i najbolji)"

O kom se programu radi i gde može da se skine?


Program se zove GMER, i trenutno se u javnosti ne postavljaju adrese o tome gde moze da se skine, vec se adrese daju ljudima samo preko mailova ili privatnih poruka ukoliko se pokaze potreba za time pri resavanju slucajeva kakve mi resavamo u Ambulanti.

@all
Prenecu vam ono sto mi je Gmer rekao kada sam mu preneo savete iz ove teme:
Napad je bio takav da vise nije mogao da pristupi Cisco PIX firewallu da mu promeni konfiguraciju. Firewall se uopste vise nije odazivao na komande koliko je bio uposljen, tako da sumnja da bi softversko resenje dalo neke bolje rezultate.

Dopuna: 11 Jan 2007 23:40

Trenutno radimo na tome da obavestimo ISP-ove sa cijih mreza dolaze napadi, da oni stupe u kontakt sa svojim korisnicima ciji su kompovi deo botneta.

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23072
  • Gde živiš: Niš

Tesko cete uspeti u tome, ima ih on na hiljade.

Ako se sam Cisco topio - nemamo onda o cemu da pricamo Smile

Dopuna: 11 Jan 2007 23:49

Peca ::Soxxx je ovde objasnio kako se limitiraju konekcije po sekundi - http://www.mycity.rs/Linux-administracija/Anti-flo.....tml#458625

Soxxx, da li je ovo limit po svakoj IP adresi ponaosob, ili globalan limit?


Molim samo Soxxxa da mi odgovori na ovo pitanje Smile

offline
  • BMW 
  • Ugledni građanin
  • Pridružio: 25 Mar 2005
  • Poruke: 314

Jel to ovaj GMER koji ne može nigde da se skine?

http://www.majorgeeks.com/GMER_d5198.html

Kao što vidite, inetrnet vam je čudo, ima i od popa gaće.


Džaba se mučite oko ovoga.
Još je 1977 godine Tarner, direktor CIA, na svedočenju pred Senatom javno rekao da je CIA vršila kontrolu uma ogromnog broja ljudi bez njihovog znanja i pristanka.

Pa šta tek danas rade sa ovim našim pišljivim mašinama Mr. Green

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

@BMW
Na sledecem linku imas skroz dole listu mirrora:
http://www.antirootkit.com/software/Gmer.htm

Zadnja tri su bili moji mirrori. Onaj skroz zadnji mi opet radi, ali sam promenio ime foldera.
Oni sto su na listi obelezeni da jos rade - dobar deo njih je isto pao.
Imamo sada jos jedno 10 novih mirrora, ali samo za upotrebu na forumima.

Ko je trenutno na forumu
 

Ukupno su 706 korisnika na forumu :: 45 registrovanih, 8 sakrivenih i 653 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 2967 - dana 31 Okt 2019 06:37

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Sale, aljosa7, aramis s, Dannyboy, darcaud, darkangel, darkstar101, dolinalima, Gama, goxin, idejo, ikan, jaeger, Joja2, Kotarle, krunomiletic5, Kubovac, Levi, Marko Marković, Markoni29, Mihajlo2, miodrag2, nenadp93, oldtimer, RADOVAN.S, Rakenica, rasskoljnikov, roka79, s.solajic, Sale.S, sosko2, ssekir75, SsssssNOVI, stringer bell, Toni, Trpe Grozni, Van, vathra, Viceroy2, vlvl, vobo, voja64, wolf431, WS2, zoidbergs