Angreb på server.

Du kan vel starte med at se om der noget i den firewall-log?

den = din

Tjaa, den fylder 1,5GB fra det sidste angreb. Men har intet usædvanligt fundet endnu..

Jeg vil tro derer tale om sync flod angreb, sikkert fra en eller anden script kiddie og det er der desværre ikke meget at gøre ved. Hvis vi skal kunne sige noget mere præcist, så skal vi se mindst et uddrag af loggen

Jeg har intet usædvanligt fra den.. Det er ikke blevet logget angrebet ser det ud til. Hvilket bare gør det endnu mere mystisk.

i Såfand er det sikkert et sync flod angrem. Et sync flod angreb anvender den indledende 3 vejs handshake der udføres ved en hver ip forbindelse, altså før din server tilgås.

Når deretableres forbindelse meller f.eks. min maskine og din server, er det første der sker at min maskine sender en sync pakke til din server. Denne sender en ark og en sync pakke til min maskine, derså svare med en Ark. Dette er 3 vejs handshaket og det ´sker før den web side jeg har requestet fra min maskine hentes fra din server og vil altså ikke give nogle hits i din web server log.

Et sync flod angreb sker ved at man sender tusinde af Sync pakker til din server, men ikke svare på din servers Ark og Sync pakker. Hver Ark og Sync svar har en ttl (time to live) og hvis der sendes mange tusinde sync pakker i sekundet vil det bringe din server i knæ og dermed lave et dos angreb mod dig

Dette angreb vil ikke give nogle logs på din web server, men hvis du sniffer din forbindelse vil du kunne se hvad der sker

http://www.frac.dk/SystemStats2/grapher.php?host=localhost&type=poll&id=13

Check graf nummer 2 her.

umiddelbart mener jeg heller ikke du kan spore syncfloods, men du kan spærre for dem via en inspection firewall (hardware, eller ex. iptables)

Jeg bruger allerede iptables selvf..

Men vil i mene at det er et sync angreb? eller hvad er der sket siden linien er blevet voldtaget på den måde?

Jeg mener faktisk ikke du kan spære for sync flod angreb. Da ALLE ip connections startes med en sync og da modtageren ikke ved hvilken IP adresse sync kommer fra før 3 vejs handshaket er afsluttet, kan man ikke filtrere den slags fra.

Som jeg ser det, kan man kun lukke forbindelsen net mens angrebet er i gang, men så har angriberen jo opnået hvad han ville.

Man kan også opsætte specielle Firewalls, der er tunet med henblik på sync flod. De har kortere TTL og er i det hele taget lavet til at modstå dette.

Desværre er der special værktøjer til linux der er lavet til sync flod angreb og med bare 3 til 5 hosts, kan enhver hacker faktisk bringe alle i knæ og der er ikke rigtigt noget at gøre ved det. Det er et stort problem, bl.a. flere Online bedding firmaer har stiftet bekendsskab med. De er blever afprædset af hackere fra Øst europa, der truede med at lave dos angreb mod deres servere op til store sports begivenheder og det er typisk her de tjener rigtig mange penge

Da det er Syddansk universitets backbone jeg har server på ved jeg også der er en masse lækkert udstyr, jeg skal bare være sikker på hvad jeg fortæller dem i morgen når jeg ringer og beder dem om at lukke ned for dette.

bufferzone>

Dvs. du mener ikke en CONFIG_SYN_COOKIES i din linuxkernel vil være nok?
Ved godt den ikke spærer helt, men netop nedsætter TTL - men det er vel bedre end ingenting.

Hvordan ændrer jeg dette? Bruger en RedHat..

Så havde jeg endnu et angreb. Stadigt ingen løsning?

newage>Jep, du kan oåsætte firewalls, der er bedre til at håndtere sync flod, bl.a. ved at nedsætte ttl, men det er altid et trade off. Desværre er sync flod så let at udføre at det at du opsætter en mekalisme (firewall) der er bedre til at håndtere disse angreb, bare betyder at hackeren skal bruge en eller to maskiner mere og det er ofte intet problem.

Store firmaer som Unibet og Ladbrouks har meget store problemer med disse angreb og bliver faktisk afpresset af hackere der truer dem med at lave dos angreb lige før store sports begivenheder og dermed får dem til at midste store beløb