| View previous topic :: View next topic |
| Author |
Message |
net500
n00b
Joined: 03 Jun 2007
Posts: 5
|
 Posted: Sun Jun 03, 2007 11:07 am Post subject: flood | firewall |
 |
|
ciao,
ho messo su un firewall per proteggere la mia rete che spesso viene presa d'assalto da syn flood, oltre 100megabit di traffico che mi giunge da source completamente diverse.
come posso generare io un flood di questo tipo a fini di test?
Grazie |
|
| Back to top |
|
 |
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Sun Jun 03, 2007 11:24 am Post subject: |
|
|
I fori non-nazionali sono inglesi; moved from Networking & Security to Forum italiano (Italian).
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Sun Jun 03, 2007 11:34 am Post subject: |
|
|
Thanks Think4UrS11 
Thread spostato nuovamente dal Forum italiano (Italian) al Forum di discussione italiano.
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 03, 2007 12:17 pm Post subject: Re: flood | firewall |
|
|
| net500 wrote: | ciao,
ho messo su un firewall per proteggere la mia rete che spesso viene presa d'assalto da syn flood, oltre 100megabit di traffico che mi giunge da source completamente diverse.
come posso generare io un flood di questo tipo a fini di test?
Grazie |
Intanto se il problema è serio puoi fare un esposto dai carabinieri.
prova ad abilitare il syn cookie.
ciao.
luigi
_________________
RTFM!!!!
e
http://www.comio.it
 |
|
| Back to top |
|
|
net500
n00b
Joined: 03 Jun 2007
Posts: 5
|
| Posted: Sun Jun 03, 2007 12:21 pm Post subject: |
|
|
il problema è che le sorgenti sono sempre diverse ed estere è un casino...
ma per poter simulare esattamente quello che accade non posso usare lo stesso software/script che probabilmente usano loro? cosa posso usare ? |
|
| Back to top |
|
|
ProT-0-TypE
Veteran
Joined: 20 Dec 2003
Posts: 1624
Location: Cagliari
|
| Posted: Sun Jun 03, 2007 12:52 pm Post subject: |
|
|
ma su rete locale? a cosa ti serve la simulazione?
_________________
[Vuoi guadagnare navigando?] |
|
| Back to top |
|
|
net500
n00b
Joined: 03 Jun 2007
Posts: 5
|
| Posted: Sun Jun 03, 2007 12:53 pm Post subject: |
|
|
| voglio capirne di più voglio capire come lo fanno e poter con calma capire che filtrarlo.. si ovvio che i broadcast che andrei ad usare sarebbero locali... |
|
| Back to top |
|
|
GabrieleB
Guru
Joined: 22 Jul 2003
Posts: 317
|
| Posted: Sun Jun 03, 2007 4:13 pm Post subject: |
|
|
non sono broadcast, sono unicast ... e ... non lo puoi fermare ma lo puoi solo mitigare.
Mi spiego:
Su un firewall puoi definire una soglia massima di connessioni (o magari solo di syn) verso una macchina. Superata la tale soglia puoi fermare ulteriori connessioni, ma non sai se stai fermando l'ennesima connessione dell'attaccante, oppure la connessione buona di qualcuno che vuole VERAMENTE visualizzare il sito.
Puoi abbassare la soglia in modo che il server o la linea non collassino, ma se e' un DDoS puoi fare poco.
Edit: se sono veramente dei broadcast, quelli si bloccano con poco. Per risponder(ti) alla domanda "vorrei capirne di piu'" basta che fai partire uno sniffer e vedi cosa ti stanno mandando.
_________________
Keyboard error. Press F1 to continue. |
|
| Back to top |
|
|
net500
n00b
Joined: 03 Jun 2007
Posts: 5
|
| Posted: Sun Jun 03, 2007 5:29 pm Post subject: |
|
|
| qualcuno sa dove posso trovare questi script che generano questi flood ? |
|
| Back to top |
|
|
skypjack
l33t
Joined: 05 Aug 2006
Posts: 884
Location: Italia - Firenze
|
| Posted: Sun Jun 03, 2007 5:58 pm Post subject: |
|
|
| net500 mi sa che prima dovresti chiarirti un po' le idee su come funzionano le reti di computer... |
|
| Back to top |
|
|
net500
n00b
Joined: 03 Jun 2007
Posts: 5
|
| Posted: Sun Jun 03, 2007 6:32 pm Post subject: |
|
|
da quello che ho capito io c'è una sorgente che lancia uno script di un certo tipo spooffando l'ip che vuole attaccare, così le richieste partono con l'ip che si vuole attaccare e vanno ad una lista di N server sparsi per il mondo che gli rispondono.. ma a quel punto le risposte arrivano al vero indirizzo ip e quindi si genera una quantità di traffico mostruosa che arriva da N sorgenti sparse per il mondo.. senza poter capire chi veramente ha lanciato l'attacco.
dico bene ? |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 03, 2007 6:34 pm Post subject: |
|
|
| net500 wrote: | da quello che ho capito io c'è una sorgente che lancia uno script di un certo tipo spooffando l'ip che vuole attaccare, così le richieste partono con l'ip che si vuole attaccare e vanno ad una lista di N server sparsi per il mondo che gli rispondono.. ma a quel punto le risposte arrivano al vero indirizzo ip e quindi si genera una quantità di traffico mostruosa che arriva da N sorgenti sparse per il mondo.. senza poter capire chi veramente ha lanciato l'attacco.
dico bene ? |
comunque se ti vuoi simulare l'attacco cerca su google "packet forging". Probabilmente dovrai usare le pcap & co.
ciao
luigi
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Sun Jun 03, 2007 7:36 pm Post subject: |
|
|
| net500 wrote: | | qualcuno sa dove posso trovare questi script che generano questi flood ? |
Non si tratta proprio di script ma di virus o più propriamente di worm mirati a generare una rete di zombie che viene attivata nei modi più svariati, possono essere centralizzate o più in versione p2p in cui gli zombie comunicano tra di loro, in ogni caso che io sappia distribuire i sorgenti dei virus dovrebbe essere illegale ...
In ogni caso non te ne faresti molto, il modo più efficace per generare un flood è di renderlo indistinguibile da una connessione normale ...
Basta avere una rete con milioni di zombie, se ognuno di questi viene istruito per collegarsi alla tua rete vieni facilmente inondato senza poter distinguere una richiesta di connessione lecita da una proveniente da uno zombie visto che tecnicamente possono anche essere identiche.
L'unica cosa che puoi fare è proteggere la tua rete affinché non crolli sotto l'inondazione mettendo una soglia alla quantità di richieste che può accettare ma così facendo diventa statisticamente probabile rifiutare una parte delle richieste lecite.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Sun Jun 03, 2007 9:45 pm Post subject: Re: flood | firewall |
|
|
Non vorrei essere maligno ma un indirizzo di rete privato che viene preso d'assalto da syn flood, suona molto come irc war da script kiddie... Il tuo problema in quel caso lo risolvi facendo meno il galletto su irc !!
| comio wrote: |
Intanto se il problema è serio puoi fare un esposto dai carabinieri.
|
Hai visto troppi film !!!
Quando sono stato alla stazione per denunciare un furto subito alla mia auto quello appena prima di me voleva denunciare spam, e gli hanno riso in faccia, ma veramente!!
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
Deus Ex
Guru
Joined: 16 Nov 2005
Posts: 489
Location: Patavium
|
| Posted: Mon Jun 04, 2007 6:36 am Post subject: Re: flood | firewall |
|
|
| federico wrote: |
Quando sono stato alla stazione per denunciare un furto subito alla mia auto quello appena prima di me voleva denunciare spam, e gli hanno riso in faccia, ma veramente!! |
Se gli hanno riso in faccia, e non hanno raccolto, o lo hanno dissuaso dal farla, la denuncia, quanto meno si può contestare a quei signori il reato di omissione di atti d'ufficio.
Che poi sia fattibile perseguire uno spammer è un po' più difficile, ma dipende comunque dal caso.
_________________
Deus Ex
--
L’inflazione che caccia nelle mani dell’individuo, in un gesto solo, miliardi di marchi, lasciandolo più miserabile di prima, dimostra punto per punto che il denaro è un’allucinazione collettiva. |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Mon Jun 04, 2007 8:11 am Post subject: |
|
|
Per proteggersi dai syn-flood non può essere utile una regola tipo questa?
| Code: | iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP |
Lo dico da ignorante visto che non mi sono mai dovuto proteggere contro una cosa del genere (e so solo a grandi linee cosa sia)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
skypjack
l33t
Joined: 05 Aug 2006
Posts: 884
Location: Italia - Firenze
|
| Posted: Mon Jun 04, 2007 8:19 am Post subject: |
|
|
Il syn-flood è di fatto una tecnica in cui un attaccante invia una grossa quantità di messaggi TCP con flag SYN attivato il che richiede l'apertura di una connessione, ma dopo la risposta del server l'attaccante non invia altro (dovrebbe invece restituire un ACK). Questo a grandi linee, ovvio, per dare un'idea. Il problema risiede nel fatto che il server alloca in memoria strutture necessarie a gestire la comunicazione che sta per aprirsi e queste restano per un determinato lasso di tempo caricate. Se io riesco a sovraccaricare il server di richieste interrotte, come appena detto, questo saturerà la memoria occupandola con tali strutture e inizierà a rifiutare le connessioni in arrivo perchè non avrà spazio e modo di gestirle (ovviamente, intendo le comunicazioni "buone").
Questo giusto per dare un'idea, come detto...
Per inciso, esiste una teoria che aggira questo problema, ovvero la tecnica del syn-cookie, ma introduce tutta un'altra serie di aspetti e problematiche che la rendono un pò di nicchia e sostenuta non da molti (i purtisti gridano allo scandalo!). |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Mon Jun 04, 2007 9:34 am Post subject: |
|
|
| Cazzantonio wrote: | Per proteggersi dai syn-flood non può essere utile una regola tipo questa?
| Code: | iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP |
Lo dico da ignorante visto che non mi sono mai dovuto proteggere contro una cosa del genere (e so solo a grandi linee cosa sia) |
Si, queste regole ti proteggono da un syn flood.
Il problema è che limiti la quantità di connessioni in entrata senza distinguere i syn appartenenti al flood da quelli provenienti da utenti legittimi che cercano di accedere.
Il risultato per un utente esterno che cerca di accedere è identico, la macchina risulterà inaccessibile ... quindi il DoS avrà raggiunto il suo obiettivo.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Mon Jun 04, 2007 9:59 am Post subject: |
|
|
grazie per il chiarimento
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
skypjack
l33t
Joined: 05 Aug 2006
Posts: 884
Location: Italia - Firenze
|
| Posted: Mon Jun 04, 2007 10:09 am Post subject: |
|
|
| Cazzantonio wrote: | | grazie per il chiarimento |
De nada, compaesano!! |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Mon Jun 04, 2007 4:34 pm Post subject: |
|
|
Problema simile, (a me viene intasata sistematicamente la connessione dalle ore 14 alle 18, solo nei giorni lavorativi of course), e sono ancora alla ricerca dell'imbecille.
@federico,deusEX:
Oltre all'omissione di atti d'ufficio c'è anche la violata consegna (da 7 anni a salire), condotta indecorosa e via dicendo...
ma non hanno tutti i torti, non è loro competenza, loro intervengono solo per disturbo telefonico e aggressioni.
Se è spam cartaceo si deve fare istanza al garante (con liquidazione semiautomatica delle spese)
se è roba che riguarda le telecomunicazioni (fatta eccezione per il caso di interruzione di pubblico servizio) la faccenda è di competenza della polizia postale.
Sbagliare a rivolgersi agli omini in nero piuttosto che a quelli in blu od a quelli in grigio (secondo i casi, ovviamente) è il primo modo per non risolvere nulla od attendere tempi biblici, soprattutto se il reato non è perseguibile d'ufficio.
Non sono contento di come stiano le cose e attendo da anni che una denuncia presentata personalmente via internet abbia seguito o che almeno mi dicano se è stata archiviata, persa o che altro. Ma mi è stato spiegato che poichè anche se spam rientrava nel reato di procurato allarme che è di competenza della digos o dei carabinieri piuttosto che della postale con ogni probabilità è dispersa nel limbo.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
alexbgl
Apprentice
Joined: 05 Jul 2006
Posts: 240
Location: Verona
|
| Posted: Mon Jun 04, 2007 8:05 pm Post subject: |
|
|
Mi confermate che anche questo funziona discretamente:
| Code: |
iptables -A INPUT -i eth1 -m recent --update --hitcount 10 --seconds 10 -j DROP
iptables -A INPUT -i eth1 -p tcp -m state --state NEW -m recent --set -j ACCEPT
|
|
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
|
| Back to top |
|
|
|
Forum italiano (Italian) 
