[Wien] DDoS Angriff auf das Funknetz

Clemens Hopfer (spam-protected)
Do Aug 7 04:22:56 CEST 2008 

Hi,

hab mir ein kleines Script (aufgrund meiner Programmierkenntnisse leider in
php) geschrieben, das das stdout output von tcpdump aus einem file
(tcpdump_stdout.txt) einliest und Statistiken dazu ausgibt:

hört aber nur auf requests (das Protokoll ist nicht hardcoded)

http://viviroof.vivi.wien.funkfeuer.at/~datacop/traceroute_stdout_process

Beispiel eines dumps, den ich um 03:08:19 am viviroof (am uplink zum
subway) gemacht hab:

(spam-protected):~$ ./traceroute_stdout_process
attackers:
98.243.6.246    - 2321          c-98-243-6-246.hsd1.mi.comcast.net
68.36.126.188   - 2311          c-68-36-126-188.hsd1.nj.comcast.net
69.111.149.54   - 1560          69.111.149.54
74.12.246.140   - 1126         
bas15-montreal02-1242363532.region4.highspeedunplugged.bell.ca
83.24.28.70     - 930           dky70.neoplus.adsl.tpnet.pl
221.156.162.1   - 894           221.156.162.1
76.8.182.6      - 879           76.8.182.6.IMCTV.dynamic.mis.net
68.40.251.84    - 561           c-68-40-251-84.hsd1.mi.comcast.net
89.241.201.82   - 520           89.241.201.82
74.74.126.89    - 443           cpe-74-74-126-89.stny.res.rr.com
66.113.60.29    - 300           66-113-60-29.vnet-inc.com
206.75.62.166   - 153           d206-75-62-166.abhsia.telus.net
72.89.3.71      - 58            pool-72-89-3-71.nycmny.east.verizon.net
85.125.191.218  - 45            nip218.vie.ipax.at
69.144.252.37   - 24           
host-69-144-252-37.bln-mt.client.bresnan.net
85.125.17.210   - 22            85-125-17-210.volume.xdsl-line.inode.at
193.239.188.83  - 20            nmds.atnoc.net
193.227.113.225 - 10            www.secit.at
193.238.157.16  - 6             marvin.funkfeuer.at
62.40.188.104   - 1             h062040188104.per.cm.kabsi.at


victims:
193.238.156.58  - 12080         yumv1.yumyum.wien.funkfeuer.at
78.41.112.100   - 22            v13.jg7.wien.funkfeuer.at
193.238.156.1   - 20            oldsubway.krypta.wien.funkfeuer.at
193.238.156.125 - 15            omni.zah1.wien.funkfeuer.at
193.238.158.66  - 15            v13.boc1.wien.funkfeuer.at
193.238.159.231 - 15            zah2omni.zah2.wien.funkfeuer.at
78.41.115.2     - 6             viviroof.funkfeuer.at
193.238.156.245 - 5             hau14.hau14.wien.funkfeuer.at
193.238.157.136 - 5             hau14v1.hau14v1.wien.funkfeuer.at
193.238.156.2   - 1             v4wlan.astg6.wien.funkfeuer.at


we got 20 attackers and 10 victims in a snapshot of 36 seconds
 starting at 03:08:19, 07.08.2008

anscheinend geht die Attacke großteils nur gegen 193.238.156.58.
Wenn du das Device mal off nimmst oder die IP wechselst versickern die
Pakete am viviroof,

generell sollte man dabei aber überlegen, was gegen soetwas gemacht werden
kann.
(Ich schlag das mal gleich fürs nächste backbone treffen vor, es sei denn
es ergibt sich bis dahin was)

cu,
Clemens

On Thu, 07 Aug 2008 02:11:01 +0200, Harald Geyer <(spam-protected)> wrote:
> Hi!
> 
> Folgendes logfile (tcpdump -n icmp) stammt von heute (Donnerstag) kurz
> nach
> Mitternacht:
> http://rerun.lefant.net/~harald/DDoS.txt
> 
> Man beachte, dass die 27 kB logfile in nur 1.1 Sekunden aufgenommen
> wurden. 
> 
> Damit wurde auf Kanal 1 praktisch die gesamte Airtime verbraten. Sehr
> schön zu sehen im smokeping von Nachbarn von ma89.ma89v1 ...
> 
> Falls sowas künftig öfter vorkommt, müssen wir uns was überlegen.
> 
> Liebe Grüße,
> Harald
> 
> --
> Wien mailing list
> (spam-protected)
> http://lists.funkfeuer.at/mailman/listinfo/wien

Mehr Informationen über die Mailingliste Wien