[FUGSPBR] suspeita de atack

Fabricio fabricio em eureca.com.br
Qui Jul 18 19:09:03 BRT 2002 

Ola Pessoal;

Hoje por volta das 14:30 nosso firewall e nat parou de rotear pacotes. Do
nada.

Primeiramente pensei que fosse a speedy. Não era.. Segundamente pensei que
fosse placas de rede...  Tb não foi.

Pensei que foi uma pane de hardware geral (Ainda nao sei se foi isso).

Só seu que começaram aparecer msgs do tipo :
freebsd /kernel: Limiting icmp unreach response from 228 to 200 packets per
second

Não teve jeito de arrumar momentaneamente.. e montei outra maquina freebsd
em 20 minutos tava aparentemente tudo no ar.. direto na speedy. Quando fui
habilitar o NAT para minha surpresa não estavamos navegando na net. Quando
digitei tcpdump para ver o que poderia estar ocorrendo, recebo uma msg de
kernel/ promiscuou mode enable e disable.. and so on.

Tive que subir a maquina em outro ip com outro link .. essa maquina que subi
foi em um outro link sem ser a speedy. Comecei a navegar normalmente na
internet por esse outro link com essa nova maquina configurada em 20
minutos. Pesquisando no google sobre a msg de erro obtenho as seguintes
definições:

################################################
I believe that you've been smurfed with fake src addresses.
Or, your routing table is not right.
The only way to find out the truth is to run tcpdump(1) or other sniffer.
Take care.
######################################################
This indication is harmless and caused by a new kernel configuration option
:
ICMP_BANDLIM, which limits the number of ICMP messages processed by the
machine
#######################################################


Achei um documento que fala sobre 'spank' attack. Se eu entendi bem é um
porção de pacotes icmp chegando na máquina que é impossivel de ser
processadas pelo kernel. Se eu estiver errado por favor.. me corrigam

O endereço é http://www.w00w00.org/files/advisories/spank/spank.txt

Alguém já ouviu falar nisso ou passou por este tipo de problema ?

Se sim.. como evitar que acontece ?  Li que se habilitar no kernel
ICMP_BANDLIM talvez pode ajudar a diminuir esses ataques.

[]´s

Fabricio


________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd