Piotr KUCHARSKI napisał(a):

[...]

Najlepiej niech futszak robi za moderatora maili wysylanych do irc@
w sprawach k-line. W MODT wpiszcie jego maila i poproscie go aby
forwardowal tylko te co madrzejsze ;P

januszek

do góry

Chrószcz Sławomir <s...@r...spampl> pisze:

>>Wydaje mi się, że większość ataków jest w jakiś sposób
>>powodowana 'przez' IRC. Mylę się?
>Mylisz się.
>powodowana != koordynowana

Koordynowana? Co masz na myśli? Jeśli zrozumiałeś mój post jako
oskarżenie osób odpowiedzialnych za konkretne sieci IRC to
jest to oczywiście błędna interpretacja.

IRC jest wg. mnie najczęstszą przyczyną tych ataków w tym
sensie, że idioci bawiący się w ddos na IRC najczęściej znajdują
powody do swoich szczeniackich zabaw.

do góry

Piotr KUCHARSKI <c...@s...waw.pl> pisze:

>Oczywiście zdajesz sobie sprawę, że K-line to tylko jeden z wielu
>powodów ataków DDoS. Niektóre inne to:

Kilka przykładów z ostatniego tygodnia (1 host):

- 3h tcp-syn floodu na 22, bo abuser nie otrzymał statusu
operatora, a w zamian został wyproszony z kanału
- ~15m tcp-syn floodu na 80, bo użytkownik serwera miał nick,
który 'należał' to abusera
- dwa razy po ok. 2h udp floodu z niewyjaśnionych przyczyn
- 3h udp floodu, bo abuserowi nie spodobała się wypowiedź
jednego z użytkowników

>Kilka razy rozmawiałem z takimi. Są święcie są przekonani (albo tylko
>udają to święte przekonanie), że
>a) mają rację
>b) IRC należy do nich (i tylko do nich)
>c) DDoS to tylko drobna złośliwość, prztyczek w nos zaledwie dla
> atakowanego
>d) nikomu innemu się krzywda nie dzieje
>e) są bezkarni
>f) wolno im

Najgorsze, że w ich opini nie robią nic złego i nie powodują
żadnych strat. Nie są w stanie pojąć, że ich debilne zabawy nie
kończą się na 'ping timeout' sesji nielubianej osoby, a ich
skutkiem jest także brak dostepu do danego komputera dla innych
użytkowników. Nie wiem, jak można tego nie rozumieć, ale
najwyraźniej można.

>Dla mnie to zwykli internetowi *terroryści*: stawiają żądania,
>a w przypadku ich niespełnienia atakują DDoS-em.

Można się pocieszać, że większość z nich jest (z tego co
zauważyłem) niepełnoletnia, istnieje więc pewna szansa, że z czasem
zmądrzeją. Z drugiej strony głównie z tego powodu czują się bezkarni.

do góry

Neas <n...@u...neas.ws> napisał(a):

> Kilka przykładów z ostatniego tygodnia (1 host):

Skontaktuj sie z administratorami sieci, w ktorych sa DDoS zombie,
ustalcie kto koordynuje ataki, kontakt z CERTem i kolejna udana akcja
policji. Mowie serio.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Neas <n...@u...neas.ws> writes:

> Można się pocieszać, że większość z nich jest (z tego co
> zauważyłem) niepełnoletnia, istnieje więc pewna szansa, że z czasem
> zmądrzeją. Z drugiej strony głównie z tego powodu czują się bezkarni.

Ale czy oni to robia przez jakis spoofing i zombie, czy tak zwyczajnie
- ze swojego PC? A jesli to drugie, to co na to ich dostawcy
internetu?

MJ

do góry

Michal Jankowski <m...@f...edu.pl> napisał(a):

> Ale czy oni to robia przez jakis spoofing i zombie, czy tak zwyczajnie
> - ze swojego PC? A jesli to drugie, to co na to ich dostawcy
> internetu?

Uzywaja zombie, ale nie spoofuja, bo ze wzgledu na powszechnie
stosowane filtry, jest coraz trudniej.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Michal Jankowski <m...@f...edu.pl> pisze:

>Ale czy oni to robia przez jakis spoofing i zombie, czy tak zwyczajnie
>- ze swojego PC? A jesli to drugie, to co na to ich dostawcy
>internetu?

Ze swojego PC to raczej by nie byli w stanie. ;-)

Infekują trojanami użytkowników dziurawych windowsów (preparują
stronę www która powoduje automatyczną instalację trojana na
systemach niezbyt up-to-date). Te trojany łączą się z ircd
postawionym na jakimś serwerze i wchodzą na pewien kanał z którego
można wydawać im polecenia. DDoS to najczęściej zwykły tcp-syn
flood na jakiś port/jakieś porty, wykonywany naraz przez te
wszystkie zainfekowane komputery (jest ich zwykle kilkaset).

do góry

On 06 Apr 2004 20:48:05 +0200, Przemyslaw Frasunek <v...@p...na.niusy>
wrote:

>Michal Jankowski <m...@f...edu.pl> napisał(a):
>
>> Ale czy oni to robia przez jakis spoofing i zombie, czy tak zwyczajnie
>> - ze swojego PC? A jesli to drugie, to co na to ich dostawcy
>> internetu?
>
>Uzywaja zombie, ale nie spoofuja, bo ze wzgledu na powszechnie
>stosowane filtry, jest coraz trudniej.

Ha, ha. Znakomity dowcip. W ciągu ostatnich 3 miesięcy dostałem kilkadziesiąt
(!) maili od osób, których komputery rzekomo były atakowane przez
149.156.119.1 (tak, cały czas chodzi o ten atak opisany na
<http://www.irc.pl/news>). Ostatni taki mail przyszedł przedwczoraj.
--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested. -- Heinlein H

do góry

On 2004-04-05, Neas <n...@u...neas.ws> wrote:
> Jan Srzednicki <...@n...invalid> pisze:
>
>>A w kwestii merytorycznej: cóż skłania cię ku wnioskom, że ataki DDoS
>>dotyczą tylko serverów IRC w Polsce? Zapewniam, że nie tylko.
>
> Wydaje mi się, że większość ataków jest w jakiś sposób
> powodowana 'przez' IRC. Mylę się?

Nie mam żadnych danych, żeby to potwierdzić/zaprzeczyć, nie prowadzę
statystyk. Możliwe, że tak jest.

Zauważ jednak, że ja pisałem o atakach na server IRC, a nie powodowane
przez IRC - bo 'powodowane przez IRC' może oznaczać, że jakiemuś
bambusowi nie spodoba się, że dostał bana od kogoś, kto ma gdzieś konto
i pojedzie DDoSem w server owo konto obsługujący. I to ma się nijak do
głupot produkowanych przez imć Futszaka o pośredniej winie Beetha za
zamieszanie.

--
-- Jan Srzednicki --=-- wrzask --=-- Winfried --

do góry

On 2004-04-06, Przemyslaw Frasunek <v...@p...na.niusy> wrote:
> Neas <n...@u...neas.ws> napisał(a):
>
>> Kilka przykładów z ostatniego tygodnia (1 host):
>
> Skontaktuj sie z administratorami sieci, w ktorych sa DDoS zombie,
> ustalcie kto koordynuje ataki, kontakt z CERTem i kolejna udana akcja
> policji. Mowie serio.

Ja się kontaktowałem. Na paręnaście abuse@, które zgłosiłem, z logami i
wszystkim, dostałem dwie odpowiedzi. Jedna od dość lamowatej sieci
kablowej, z wpisanymi w RIPE adresami z @wp.pl ;), nawet byli gotowi do
współpracy, ale następny atak z ich sieci się nie pojawił. Druga
odpowiedź była znowu z kablówki, ale poza "Prosimy o cierpliwość,
dochodzimy, kto to zrobił" nic więcej nie otrzymałem.

Oczywiście, TPSA, Netia, TK Telekom radośnie milczą.

A sprawcę znam, tylko jakichkolwiek twardych dowodów brak.

Czy coś przeoczyłem w procedurze?

--
-- Jan Srzednicki --=-- wrzask --=-- Winfried --

do góry