[Wien] DDoS Angriff auf das Funknetz
Clemens Hopfer
(spam-protected)
Do Aug 7 04:22:56 CEST 2008
Hi,
hab mir ein kleines Script (aufgrund meiner Programmierkenntnisse leider in
php) geschrieben, das das stdout output von tcpdump aus einem file
(tcpdump_stdout.txt) einliest und Statistiken dazu ausgibt:
hört aber nur auf requests (das Protokoll ist nicht hardcoded)
http://viviroof.vivi.wien.funkfeuer.at/~datacop/traceroute_stdout_process
Beispiel eines dumps, den ich um 03:08:19 am viviroof (am uplink zum
subway) gemacht hab:
(spam-protected):~$ ./traceroute_stdout_process
attackers:
98.243.6.246 - 2321 c-98-243-6-246.hsd1.mi.comcast.net
68.36.126.188 - 2311 c-68-36-126-188.hsd1.nj.comcast.net
69.111.149.54 - 1560 69.111.149.54
74.12.246.140 - 1126
bas15-montreal02-1242363532.region4.highspeedunplugged.bell.ca
83.24.28.70 - 930 dky70.neoplus.adsl.tpnet.pl
221.156.162.1 - 894 221.156.162.1
76.8.182.6 - 879 76.8.182.6.IMCTV.dynamic.mis.net
68.40.251.84 - 561 c-68-40-251-84.hsd1.mi.comcast.net
89.241.201.82 - 520 89.241.201.82
74.74.126.89 - 443 cpe-74-74-126-89.stny.res.rr.com
66.113.60.29 - 300 66-113-60-29.vnet-inc.com
206.75.62.166 - 153 d206-75-62-166.abhsia.telus.net
72.89.3.71 - 58 pool-72-89-3-71.nycmny.east.verizon.net
85.125.191.218 - 45 nip218.vie.ipax.at
69.144.252.37 - 24
host-69-144-252-37.bln-mt.client.bresnan.net
85.125.17.210 - 22 85-125-17-210.volume.xdsl-line.inode.at
193.239.188.83 - 20 nmds.atnoc.net
193.227.113.225 - 10 www.secit.at
193.238.157.16 - 6 marvin.funkfeuer.at
62.40.188.104 - 1 h062040188104.per.cm.kabsi.at
victims:
193.238.156.58 - 12080 yumv1.yumyum.wien.funkfeuer.at
78.41.112.100 - 22 v13.jg7.wien.funkfeuer.at
193.238.156.1 - 20 oldsubway.krypta.wien.funkfeuer.at
193.238.156.125 - 15 omni.zah1.wien.funkfeuer.at
193.238.158.66 - 15 v13.boc1.wien.funkfeuer.at
193.238.159.231 - 15 zah2omni.zah2.wien.funkfeuer.at
78.41.115.2 - 6 viviroof.funkfeuer.at
193.238.156.245 - 5 hau14.hau14.wien.funkfeuer.at
193.238.157.136 - 5 hau14v1.hau14v1.wien.funkfeuer.at
193.238.156.2 - 1 v4wlan.astg6.wien.funkfeuer.at
we got 20 attackers and 10 victims in a snapshot of 36 seconds
starting at 03:08:19, 07.08.2008
anscheinend geht die Attacke großteils nur gegen 193.238.156.58.
Wenn du das Device mal off nimmst oder die IP wechselst versickern die
Pakete am viviroof,
generell sollte man dabei aber überlegen, was gegen soetwas gemacht werden
kann.
(Ich schlag das mal gleich fürs nächste backbone treffen vor, es sei denn
es ergibt sich bis dahin was)
cu,
Clemens
On Thu, 07 Aug 2008 02:11:01 +0200, Harald Geyer <(spam-protected)> wrote:
> Hi!
>
> Folgendes logfile (tcpdump -n icmp) stammt von heute (Donnerstag) kurz
> nach
> Mitternacht:
> http://rerun.lefant.net/~harald/DDoS.txt
>
> Man beachte, dass die 27 kB logfile in nur 1.1 Sekunden aufgenommen
> wurden.
>
> Damit wurde auf Kanal 1 praktisch die gesamte Airtime verbraten. Sehr
> schön zu sehen im smokeping von Nachbarn von ma89.ma89v1 ...
>
> Falls sowas künftig öfter vorkommt, müssen wir uns was überlegen.
>
> Liebe Grüße,
> Harald
>
> --
> Wien mailing list
> (spam-protected)
> http://lists.funkfeuer.at/mailman/listinfo/wien
Mehr Informationen über die Mailingliste Wien