ipchains [Tech] dis-sammba
Leonardo Boselli
leo@dicea.unifi.it
Ven 4 Apr 2003 21:56:48 CEST
On 4 Apr 2003, at 17:07, Alessio Chemeri wrote:
> Leonardo Boselli wrote:
> non ti converrebbe bloccarlo sui router?
non lo gestisco io ....
> se fai loggare al router il traffico verso quell'ip guardi se e' un
> DoS con zombie vari o se e' un cretino con una T1 che si diverte male
> (oppure qualcuno che pensa sia una macchina windows e cerca di
> exploitarla... :-)) )
la macchina sotto attacco ha avuto questo trattamento per qualche
settimana e via via bloccavo gli indirizzi, tutti tranne uno erano
dialup adsl. quell'uno era di un collegamento eprmanete di cui ho
contattato il responsabile che è come caduto dalle nuvole, non se
ne intendeva a non ha fatto altro che staccare la corrente a tuitta la
sua rete, dopo il riavvio non [ più successo nulla ....
che qualcuno cerchi un exploit su una macchina windows [ ovvio,
visto che usa la 139.
Il problema nasce dal fatto che una volta che il server e`stato
filtrato, bloccando l'accesso ai numeri pericolosi sono passati ai
client, che hanno samba con validazione server. quindi non posso
bloccare dal server l'accesso ai clienti, ma questi DoS consistono
nel tentare di entrare indovinando la PW di un utente su un client,
questo passa la richiesta al server che dopo qualche tentativo
blocca l'account .. e ecco come viene il DoS !
> nel caso che siano pochi li blocchi con una access-list in entrata...
all'inizio fatto, ma poi sono diventati troppi ....
> ammi sapere se ti serve ancora il test di entrata (mandami una
> mail) che posso provare da qua.
già fatto da altri
> Alessio
--
Leonardo Boselli
Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
tel +39 0554796431 cell +39 3488605348 fax +39 055495333
http://www.dicea.unifi.it/~leo
Maggiori informazioni sulla lista
flug-tech