[FUGSPBR] suspeita de atack
Giovanni P. Tirloni
gpt em tirloni.org
Qui Jul 18 19:22:19 BRT 2002
* Fabricio (fabricio em eureca.com.br) wrote:
>
> Só seu que começaram aparecer msgs do tipo :
> freebsd /kernel: Limiting icmp unreach response from 228 to 200 packets per
> second
http://www.freebsd.org/doc/en/books/faq/networking.html \
#ICMP-RESPONSE-BW-LIMIT
> Não teve jeito de arrumar momentaneamente.. e montei outra maquina freebsd
> em 20 minutos tava aparentemente tudo no ar.. direto na speedy. Quando fui
> habilitar o NAT para minha surpresa não estavamos navegando na net. Quando
> digitei tcpdump para ver o que poderia estar ocorrendo, recebo uma msg de
> kernel/ promiscuou mode enable e disable.. and so on.
http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci518283,00.html
http://www.tldp.org/HOWTO/Ethernet-HOWTO.html
> Achei um documento que fala sobre 'spank' attack. Se eu entendi bem é um
> porção de pacotes icmp chegando na máquina que é impossivel de ser
> processadas pelo kernel. Se eu estiver errado por favor.. me corrigam
Tenta ping -f como root :)
> Alguém já ouviu falar nisso ou passou por este tipo de problema ?
>
> Se sim.. como evitar que acontece ? Li que se habilitar no kernel
> ICMP_BANDLIM talvez pode ajudar a diminuir esses ataques.
Sim, muitos de nós já passamos por isso. Esses tipos de ataques são
triviais. Qualquer um com QI acima de 10 e um link mais rápido que
o seu pode fazer isso.
Se você tava recebendo as mensagens do kernel sobre limitação de
respostas ICMP era porque o ICMP_BANDLIM já está habilitado.
http://www.freebsd.org/cgi/man.cgi?query=security&apropos=0& \
sektion=0&manpath=FreeBSD+4.6-stable&format=html
Vê a seção sobre DoS.
--
Giovanni P. Tirloni
gpt em tirloni.org
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd