Ola Giuliano, Como vc ja deve ter notado eu nao conheço nada de debian ainda! :P
Mas pelo que eu vi em comentarios nos arquivos de inicialização ele simplesmente checa o source do pacote! :) Nesse caso os famosos DOS como (opentear, jolt2, ...) não iriam funcionar! :) Suponha que eu utilize a classe de rede C 192.168.0.0! Entao disparando um ataque de opentear de uma maquina 192.168.0.1 contra o 192.168.0.2 (debian) eu tenho o seguinte trafego: 10:29:48.553850 110.0.0.0.pop3 > Debian.hadrion.com.br.fsp: udp 0 (frag 56364:[EMAIL PROTECTED]) 10:29:48.553928 20.0.0.0.20 > Debian.hadrion.com.br.12: udp 0 (frag 56367:[EMAIL PROTECTED]) 10:29:48.554007 20.0.0.0.20 > Debian.hadrion.com.br.12: udp 0 (frag 56371:[EMAIL PROTECTED]) 10:29:48.554085 20.0.0.0.20 > Debian.hadrion.com.br.12: udp 0 (frag 56374:[EMAIL PROTECTED]) 10:29:48.554163 30.0.0.0.30 > Debian.hadrion.com.br.daytime: udp 0 (frag 56378:[EMAIL PROTECTED]) 10:29:48.554240 30.0.0.0.30 > Debian.hadrion.com.br.daytime: udp 0 (frag 56381:[EMAIL PROTECTED]) 10:29:48.554319 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag 56385:[EMAIL PROTECTED]) 10:29:48.554398 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag 56388:[EMAIL PROTECTED]) 10:29:48.554477 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag 56392:[EMAIL PROTECTED]) 10:29:48.554553 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag 56395:[EMAIL PROTECTED]) 10:29:48.558688 30.0.0.0.30 > Debian.hadrion.com.br.daytime: udp 0 (frag 56579:[EMAIL PROTECTED]) 10:29:48.558844 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag 56586:[EMAIL PROTECTED]) 10:29:48.559000 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag 56593:[EMAIL PROTECTED]) 10:29:48.559079 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag 56597:[EMAIL PROTECTED]) 10:29:48.559234 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag 56604:[EMAIL PROTECTED]) 10:29:48.559469 60.0.0.0.60 > Debian.hadrion.com.br.16: udp 0 (frag 56614:[EMAIL PROTECTED]) 10:29:48.559546 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag 56618:[EMAIL PROTECTED]) 10:29:48.559624 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag 56621:[EMAIL PROTECTED]) 10:29:48.559703 80.0.0.0.www > Debian.hadrion.com.br.msp: udp 0 (frag 56625:[EMAIL PROTECTED]) 10:29:48.559859 80.0.0.0.www > Debian.hadrion.com.br.msp: udp 0 (frag 56631:[EMAIL PROTECTED]) 10:29:48.559937 90.0.0.0.90 > Debian.hadrion.com.br.chargen: udp 0 (frag 56635:[EMAIL PROTECTED]) 10:29:48.583333 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag 57199:[EMAIL PROTECTED]) 10:29:48.583491 60.0.0.0.60 > Debian.hadrion.com.br.16: udp 0 (frag 57206:[EMAIL PROTECTED]) 10:29:48.583647 60.0.0.0.60 > Debian.hadrion.com.br.16: udp 0 (frag 57213:[EMAIL PROTECTED]) 10:29:48.583726 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag 57216:[EMAIL PROTECTED]) 10:29:48.583880 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag 57223:[EMAIL PROTECTED]) 10:29:48.583957 80.0.0.0.www > Debian.hadrion.com.br.msp: udp 0 (frag 57226:[EMAIL PROTECTED]) Note que a "ideia" do ataque eh uma especie de flood. Um excesso de pacotes de varios distinos e serviços diferentes! Dessa forma o sistema tendo um trafego muito grande a processar e um excesso possiveis conexões causando indisponibilização do serviço! Ele enviou varios pacotes para o debian de varios ips e classes diferentes como: 80.0.0.0, 70.0.0.0, 100.0.0.0, 30.0.0.0 ...! E para varios serviços distintos, como daytime, fsp, chargen ...! Como ele tenta se proteger ? Checando os sorces. Caso o source nao exista na rede ele simplesmente dropa o pacote! =] t+ [ ]'s Use Your Hadrion WebMail too! Access: <A href=http://www.hadrion.com.br/>http://www.hadrion.com.br</A> Doubts? <A href=mailto:[EMAIL PROTECTED]>[EMAIL PROTECTED]</A> ________________________________________________ This mail was sent by Hadrion WebMail 1.0
