[FUGSPBR] suspeita de atack

[irado furioso com tudo]

Em Thu, 18 Jul 2002 19:09:03 -0300, "Fabricio"
<fabricio em eureca.com.br>, conhecido consumidor de lixo tóxico (Coke e
McDonald's), escreveu:


> freebsd /kernel: Limiting icmp unreach response from 228 to 200
> packets per second

normal, é limitação do kernel para não 'entupir' o log do ipfw


> estar ocorrendo, recebo uma msg de kernel/ promiscuou mode enable e
> disable.. and so on.

bem, qualquer sniffer coloca sua placa em modo promiscuous.. IMHO, o
trafshow é mais legível para eventos instantâneos. Ou o ethereal, para
registros por tempo mais prolongado..

> 
> O endereço é http://www.w00w00.org/files/advisories/spank/spank.txt

êste (pelo que li) seria um ataque distribuido - diversos servidores
disparando contra você.. Você tem algo aí que justifique isso
(e-commerce, banco, financeira, sites de expressão
nacional/internacional) ??

> Se sim.. como evitar que acontece ?  Li que se habilitar no kernel
> ICMP_BANDLIM talvez pode ajudar a diminuir esses ataques.

tudo indica que já está ativado (procure no seu /usr/src/sys..
seu_kernel)

o que diz seu /var.log/ipfw.log ? 

BTW, possívelmente já tenha-se perdido a oportunidade de uma análise
mais profunda. Não explica também porque não se conseguiu o nat,
porque não navegava..

o seu firewall está usando as configurações default? Ou você
acrescentou/eliminou algo??



---

saudações,
irado furioso com tudo
100% Microsoft-free
Linux User 179402/FreeBSD BSD50853
Engraçado: tanta gente interessada em salvar minha alma.. nem
conseguem provar que existe. Prefiro que me mandem algumas menininhas
dispostas a me deixar bem 'sarado', hehehehe..

________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr