Re: Mal ein paar LOG-Sachen: SYN-Flood und Kernel-Murks

[SPATZ1 t-online de (Frank Schneider)]

"E. Kuch" wrote:
> 
> Howha Tim,
> 
> >ich mag nicht sonderlich viel Ahnung von Synflooding und von diesen elite
> >Hackeraktivitäten haben, jedoch gibt beim Kernelkonfig doch die Option
> >"TCP syncookie support", sollte die nicht dieses Problem beheben?
> 
> In der /ver/log/messages stand:
> kernel: Warning: possible SYN flood from [seine IP] on [meine IP].  Sending
> cookies.
> 
> Also ist das an.
> 
> >Und was ist eigentlich IDDN?
> 
> Das International Digital Defence Network,
> ein Projekt, an dem ich hier in Deutschland organisiere.
> Gegen "distributed attacks".
> Ich werd's demnaechst hier mal vorstellen.
> 
> BTW: Da diese IP aber warscheinlich gespooft ist, waere jetzt so ein Proggie
> fuer den ARP-Cache, das ich derletzt mal angesprochen hab sehr nuetzlich.

Ich spinn mal bisschen rum:
Gesetzt den Fall, du bist dauerhaft im Inet (direkt), hast also nen
Class-C-Netz oder so (teilst es dir mit andren).
Wenn du dann dort "arpwatch" laufen läßt, bzw. "cheops" bemühst,
solltest du alle in dieses Netz gehenden Router rausbekommen.
Macht jetzt einer SYN oder sowas, bekommst du über deinen ARP-Cache die
MAC des Routers, der dir
den Schrott reinhaut und könntest deinen ISP bitten, da mal dichzumachen
(oder selber blocken, wenn man diesen Router unter Kontrolle hat).

Über traceroute bekommst du den letzten Router vor dem Typ raus.
Dann dessen Arp-Cache auslesen, und du hast die "wahre" MAC, also
passend zur (evtl. gespooften) IP.
Mit dieser MAC kannst du dann aber wenig anfangen, da die IP ja gespooft
ist. 

Oder ?

Solong..
mfg Frank.

-- 
Frank Schneider, <spatz1 t-online de>
Microsoft isn't the answer.
Microsoft is the question, and the answer is NO.
...-.-