Toon posts:

Spoofing atacks

Pagina: 1
Acties:

woensdag 4 juni 2003 14:54

Acties:

Verwijderd

Topicstarter
Bij het berdrijf waar ik werk krijgen we zeer regelmatig een spoofing atack Als we de ip adressen terug traceren kom je trecht op msn.nl of vuurwerk.nl.
We moeten vaak vanwege die aanvallen onze server rebooten wij draaien Microsoft ISA 2000 onder windows 2000 server.
Weet iemand iets wat ik hier tegen kan doen de aanvalleen terug kan traceren of anders iets waardoor we onzo schaarse bandbreete niet kwijt ragen door dit soort aanvallen

woensdag 4 juni 2003 14:58

Acties:

Verwijderd

Traceren wordt lastig. Een paar vragen:

1) zit die ISA server rechtstreeks aan het internet, of zit er nog een router/modem oid tussen?

2) waarom moet je in hemelsnaam die server resetten na zo'n attack?

woensdag 4 juni 2003 16:23

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 14:11

sh4d0wman

Attack | Exploit | Pwn

Verwijderd schreef op 04 juni 2003 @ 14:54:
Bij het berdrijf waar ik werk krijgen we zeer regelmatig een spoofing atack

Weet iemand iets wat ik hier tegen kan doen de aanvalleen terug kan traceren of anders iets waardoor we onzo schaarse bandbreedte niet kwijt ragen door dit soort aanvallen
bedoel je niet heel toevallig DoS ? (denial of service).
even een vraag om er zeker van te zijn dat we over hetzelfde praten :)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 5 juni 2003 08:10

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 26-04 10:22

Kabouterplop01

chown -R me base:all

Op het moment van de attack zal die bandbreedte gewoon weg zijn(Ligt trouwens wel aan de soort van attack).
In je logging en eventvwr kun je precies zien waar het vandaan komt, maar ja met een spoof is dat lastig te tracen. Als je ISA het meldt in de logging dan kun je er 100% zeker van zijn dat ie het netjes heeft tegen gehouden. We hebben mijn bak wel eens getest met een (subnet)SMURF attack. Dat houdt de ISA gewoon tegen, zonder dat er iets in de netwerprocessen crasht. En ja het internetten wordt dan traag ja; je krijgt met zo'n attack wel een berg verkeer voor je kiezen gepropt.
>:) >:) >:) >:) >:) >:) >:)

donderdag 5 juni 2003 08:15

Acties:

Verwijderd

firewall gebruiken, als het gespoofde source ip's zijn kun je dit blokken door een firwall met tcp inspection te gebruiken. en dan met voorkeur plaatsen bij je provider.

[ Voor 18% gewijzigd door Verwijderd op 05-06-2003 08:19 ]

donderdag 5 juni 2003 09:16

Acties:

Verwijderd

Topicstarter
Bedankt voor alle reacties.

Het is geen dos aanval, het internetten wordt heel traag en er zit een router tussen de ISA en het internet (cisco).
In geval van zeer traag internetten door deze spoof attacks is een oplossing om de router even aan en uit te zetten. Als er andere oplossingen zijn dan hoor ik het graag ook om deze spoofs tegen te gaan...

donderdag 5 juni 2003 09:30

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Goeie firewalls hebben standaard methodes om spoofing tegen te gaan en deze af te vangen. Netscreen iig wel.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

zaterdag 7 juni 2003 13:04

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 17-04 13:12

Guru Evi

Dus: het is geen DoS attack, maar toch een spoofing attack en je externe netwerkverbinding wordt trager. Welke soort attack bedoel je dan? Heb je een firewall log.

[ Voor 28% gewijzigd door Guru Evi op 07-06-2003 13:11 ]

Pandora FMS - Open Source Monitoring - pandorafms.org

zondag 8 juni 2003 19:08

Acties:
  • Whizzer
  • Registratie: November 2000
  • Laatst online: 26-04 18:04

Whizzer

Flappie!

Heb je je ISA server ingesteld dat ie alles 'reject' i.p.v. 'droppen'??? Je krijg tijdens zo'n aanval natuurlijk een hoop verkeer te verwerken (wat niet te voorkomen is, tenzij je dit regelt met je provider), en als je firewall vervolgens daarop ook allemaal nog gaat lopen antwoorden, dan is het snel bekeken met de bandbreedte...

Het is natuurlijk niet _DE_ oplossing, maar wel een tip...

Ik ben geweldig.. en bescheiden! En dat siert me...

zondag 8 juni 2003 22:42

Acties:
  • The Jester
  • Registratie: Januari 2000
  • Laatst online: 26-11-2024

The Jester

The fool escaped from paradise

Als er een router voor zit, kun je traffic shaping configureren. Dan zorg je iig dat de boel niet helemaal dichtgegooid wordt. Bovendien kun je dan meteen bescherming tegen SYN-floods inbouwen. Ik raad je ook aan om eens accounting aan te zetten. Kun je vrij veel uithalen.

As you grow up and leave the playground where you kissed your prince and found your frog...

Pagina: 1
Reageer