[FUGSPBR] suspeita de atack

Giovanni P. Tirloni gpt em tirloni.org
Qui Jul 18 19:22:19 BRT 2002


* Fabricio (fabricio em eureca.com.br) wrote:
> 
> Só seu que começaram aparecer msgs do tipo :
> freebsd /kernel: Limiting icmp unreach response from 228 to 200 packets per
> second

 http://www.freebsd.org/doc/en/books/faq/networking.html  \
 #ICMP-RESPONSE-BW-LIMIT

> Não teve jeito de arrumar momentaneamente.. e montei outra maquina freebsd
> em 20 minutos tava aparentemente tudo no ar.. direto na speedy. Quando fui
> habilitar o NAT para minha surpresa não estavamos navegando na net. Quando
> digitei tcpdump para ver o que poderia estar ocorrendo, recebo uma msg de
> kernel/ promiscuou mode enable e disable.. and so on.

 http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci518283,00.html
 http://www.tldp.org/HOWTO/Ethernet-HOWTO.html 

> Achei um documento que fala sobre 'spank' attack. Se eu entendi bem é um
> porção de pacotes icmp chegando na máquina que é impossivel de ser
> processadas pelo kernel. Se eu estiver errado por favor.. me corrigam

 Tenta ping -f como root :)
 
> Alguém já ouviu falar nisso ou passou por este tipo de problema ?
> 
> Se sim.. como evitar que acontece ?  Li que se habilitar no kernel
> ICMP_BANDLIM talvez pode ajudar a diminuir esses ataques.

 Sim, muitos de nós já passamos por isso. Esses tipos de ataques são
 triviais. Qualquer um com QI acima de 10 e um link mais rápido que
 o seu pode fazer isso.
 
 Se você tava recebendo as mensagens do kernel sobre limitação de 
 respostas ICMP era porque o ICMP_BANDLIM já está habilitado.
 
 http://www.freebsd.org/cgi/man.cgi?query=security&apropos=0&  \
 sektion=0&manpath=FreeBSD+4.6-stable&format=html

 Vê a seção sobre DoS.
 
--
Giovanni P. Tirloni
gpt em tirloni.org
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr



Mais detalhes sobre a lista de discussão freebsd