[FUGSPBR] suspeita de atack
hederi
hederi em yahoo.com.br
Qui Jul 18 18:01:40 BRT 2002
aqui n minha casa quando rodo nmap apontando para o ip do meu gateway
retorna a mesma msg de erro do kernel ....
On Thu, 2002-07-18 at 22:09, Fabricio wrote:
> Ola Pessoal;
>
> Hoje por volta das 14:30 nosso firewall e nat parou de rotear pacotes. Do
> nada.
>
> Primeiramente pensei que fosse a speedy. Não era.. Segundamente pensei que
> fosse placas de rede... Tb não foi.
>
> Pensei que foi uma pane de hardware geral (Ainda nao sei se foi isso).
>
> Só seu que começaram aparecer msgs do tipo :
> freebsd /kernel: Limiting icmp unreach response from 228 to 200 packets per
> second
>
> Não teve jeito de arrumar momentaneamente.. e montei outra maquina freebsd
> em 20 minutos tava aparentemente tudo no ar.. direto na speedy. Quando fui
> habilitar o NAT para minha surpresa não estavamos navegando na net. Quando
> digitei tcpdump para ver o que poderia estar ocorrendo, recebo uma msg de
> kernel/ promiscuou mode enable e disable.. and so on.
>
> Tive que subir a maquina em outro ip com outro link .. essa maquina que subi
> foi em um outro link sem ser a speedy. Comecei a navegar normalmente na
> internet por esse outro link com essa nova maquina configurada em 20
> minutos. Pesquisando no google sobre a msg de erro obtenho as seguintes
> definições:
>
> ################################################
> I believe that you've been smurfed with fake src addresses.
> Or, your routing table is not right.
> The only way to find out the truth is to run tcpdump(1) or other sniffer.
> Take care.
> ######################################################
> This indication is harmless and caused by a new kernel configuration option
> :
> ICMP_BANDLIM, which limits the number of ICMP messages processed by the
> machine
> #######################################################
>
>
> Achei um documento que fala sobre 'spank' attack. Se eu entendi bem é um
> porção de pacotes icmp chegando na máquina que é impossivel de ser
> processadas pelo kernel. Se eu estiver errado por favor.. me corrigam
>
> O endereço é http://www.w00w00.org/files/advisories/spank/spank.txt
>
> Alguém já ouviu falar nisso ou passou por este tipo de problema ?
>
> Se sim.. como evitar que acontece ? Li que se habilitar no kernel
> ICMP_BANDLIM talvez pode ajudar a diminuir esses ataques.
>
> []´s
>
> Fabricio
>
>
> ________________________________________________
> Para sair da lista visite o URL abaixo:
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
--
Heder Inacio
hederi em yahoo.com.br
FreeBSD User:50856
icq:58381688
{BH-MG-BR}
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd