PDA

Visualizza Versione Completa : Attacchi da saturazione, che sono, che fare?



Padmé Amidala
28-03-09, 22:19
Ciao, oggi per la prima volta ho ricevuto degli avvisi da NetBarrier riguardo degli "attacchi da saturazione" (?????.

Uno dei messaggi è questo:

http://img.skitch.com/20090328-gjiwiabppf3fj5waetb76ndr5x.jpg

Un altro veniva da virgin.media...

Che sono? NetBarrier come detto finora (1 anno) non si era MAI manifestato. Li ho messi per ora nella lista dei siti bloccati.
Grazie delle spiegazioni e consigli.

Lester
29-03-09, 01:30
Non ho mai usato NetBarrier ma non vedo motivo di preoccupazione, anche se è la prima volta che succede.

La definizione l'avrai già trovata di certo, comunque nel manuale di NBX5 a pag. 171 (http://www.intego.com/pub/Manual_NBX5_en.pdf) trovi il tuo caso: "connection flood". Probabilmente, nel mondo Windowsiano, qualcuno, magari tramite un computer infetto o un bot, inonda (= flood) di pacchetti indirizzi IP scelti più o meno a caso. Un po' come accade negli attacchi di tipo DDoS.

Sono possibili anche spiegazioni più innocue, ma non sono abbastanza esperto in materia. D'altro canto, se controlli il log del firewall di sistema (parlo sempre di Tiger) in Console > /var/log > ipfw.log vedrai il fiume ininterrotto di tentativi di connessione alla tua macchina.

Un caso particolare, forse, è quando chiudi un client bittorrent. In quel caso i peer che erano connessi con te continueranno ad inviare richieste sulla tua porta di ascolto. Su Tiger vedi questi tentativi di connessione come "Stealth mode connection attempt" addirittura.

Questo è il whois per l'indirizzo IP in questione: http://whois.domaintools.com/85.220.98.9

Non è che avevi in uno swarm un peer islandese?... Magari con un client BT di qualità pessima (nel pop-up non si legge su quale porta sarebbe diretto l'attacco)...

Riker
29-03-09, 01:58
Sono possibili anche spiegazioni più innocue, ma non sono abbastanza esperto in materia. D'altro canto, se controlli il log del firewall di sistema (parlo sempre di Tiger) in Console > /var/log > ipfw.log vedrai il fiume ininterrotto di tentativi di connessione alla tua macchina.

Un caso particolare, forse, è quando chiudi un client bittorrent. In quel caso i peer che erano connessi con te continueranno ad inviare richieste sulla tua porta di ascolto. Su Tiger vedi questi tentativi di connessione come "Stealth mode connection attempt" addirittura.

Questo è il whois per l'indirizzo IP in questione: http://whois.domaintools.com/85.220.98.9



Ne ho verificati alcuni e :pauuura:




Taiwan Taipei Chunghwa Telecom Data Communication Business Group
China Harbin Cncgroup Heilongjiang Province Network
Colombia Santaf� De Bogot� Prevision Medica Integral Previmedic
United States Bethalto Zen-noh Grain Corporation - Cgb Enterprises Inc

Tra quelli stealth:
Switzerland Yahoo! Europe
Italy Turin Akamai Technologies @itgate

Mar 28 23:14:24 xxxxxx ipfw: Stealth Mode connection attempt to TCP xxxxxxxxxxx from 17.254.2.136:443
United States Cupertino Apple Computer Inc

Lester
29-03-09, 12:50
Mar 28 23:14:24 xxxxxx ipfw: Stealth Mode connection attempt to TCP xxxxxxxxxxx from 17.254.2.136:443
United States Cupertino Apple Computer Inc

iTunes Store?

Riker
29-03-09, 14:14
iTunes Store?

Probabile!
Stavo verificando la possibilità di fare un account senza carta di credito e ho fatto anche un nuovo ID Apple per verificare se funzionava da quella strada.

Padmé Amidala
29-03-09, 14:42
Grazie per le risposte. Più che preoccupata ero irritata e arrabbiata (basta google analytics per quello...). Stavo solo su Floorplanner o mydeco in quel momento e tutti gli altri Computer della rete erano spenti. Forse 10 minuti prima avevo aperto azureus per rimuovere dei file e qualcuno li stava ancora insistemente cercando. Perlomeno ho potuto constatare che netbarrier qualcosa fa (da qualche mese ormai mi era venuto il dubbio...). Con azureus (per i torrents uso solo quello) non ha mai reagito, né durante né dopo.. Netbarrier l'ho preso soprattutto per la navigazione privata, protezione dei dati e trojan. Gli aiuti (accessibili tramite il segno?) non mi davano niente.
Va bene così. Ciao

Lester
02-04-09, 16:55
Giusto per conferma, ho notato oggi questo messaggio in Console. Mai visto niente del genere prima e non ho il logging abilitato su Azureus.


2009-04-02 13:15:33.399 xxxxxxxxxxxxxxxxxx
Titolo.torrent: Incoming PEX message flood detected, dropping spamming peer connection.R: 79.35.220.197: 51498 [Mainline 6.1.2]


Nota che sono tuttora connesso a questo peer che non sta mandando dati corrotti. Mainline dovrebbe essere il nickname di BitTorrent dalla versione 6.0 in poi (non più open source).

E' probabile che NetBarrier avrebbe rilevato l' "attacco".