[FUG-BR] DOS no squid?
Estou tendo um DOS, que afeta toda a parte de TCP. O squid diz que não tem buffers disponíveis. O ssh não estabelece conexão. Tudo relativo ao squid para. Os file descriptors abertos pelo sistema ficam na ordem de 3 mil, de 12 mil possíveis. Em outros ataques de DOS eu notei uma quantidade grande de file descriptors abertos, o que não foi o caso agora, que mesmo alto, não esgotou. Baixeio cache do squid para 700 MB e aparentemente parou de acontecer. Alguém tem uma idéia do que pode estar acontecendo? João Rocha. -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
2009/6/25 Joao Rocha Braga Filho goffr...@gmail.com Estou tendo um DOS, que afeta toda a parte de TCP. O squid diz que não tem buffers disponíveis. O ssh não estabelece conexão. Tudo relativo ao squid para. Os file descriptors abertos pelo sistema ficam na ordem de 3 mil, de 12 mil possíveis. Em outros ataques de DOS eu notei uma quantidade grande de file descriptors abertos, o que não foi o caso agora, que mesmo alto, não esgotou. Baixeio cache do squid para 700 MB e aparentemente parou de acontecer. Acho que descobri uma coisa: fire2:root[373] sysctl -a | grep socke kern.ipc.numopensockets: 11767 kern.ipc.maxsockets: 12328 socket: 356,12331, 11767,564, 5479360 security.jail.socket_unixiproute_only: 1 security.jail.allow_raw_sockets: 0 Então aumentei a quantidade máxima de sockets para 20 mil: fire2:root[378] netstat -an | wc 12339 74070 962667 fire2:root[379] netstat -an | grep -v '\.80[^0-9]' | wc 57 3783890 fire2:root[380] sysctl -a | grep socke kern.ipc.numopensockets: 11835 kern.ipc.maxsockets: 2 socket: 356,20009, 11835,496, 5487587 security.jail.socket_unixiproute_only: 1 security.jail.allow_raw_sockets: 0 fire2:root[381] sysctl -a | grep files kern.maxfiles: 25000 kern.maxfilesperproc: 22500 kern.openfiles: 2010 p1003_1b.mapped_files: 1 Quase todos as conexões de rede envolviam a porta 80, como era de se esperar em um squid em proxy transparente. Mas notei outra coisa minutos depois que tirei as informações acima: fire2:root[382] sysctl -a | grep socke kern.ipc.numopensockets: 2247 kern.ipc.maxsockets: 2 socket: 356,20009, 2248, 10083, 5505881 security.jail.socket_unixiproute_only: 1 security.jail.allow_raw_sockets: 0 Sim, a quantidade de sockets em uso parece ter caído para um nível aceitável. Só tenho 3 portas TCP em LISTEN: fire2:root[388] netstat -an | grep LIST tcp4 0 0 *.3128 *.*LISTEN tcp4 0 0 127.0.0.1.25 *.*LISTEN tcp4 0 0 *.22 *.*LISTEN Alguém tem uma idéia do que pode estar acontecendo? João Rocha. -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
On Thu, 25 Jun 2009 16:15:29 -0300, Joao Rocha Braga Filho wrote 2009/6/25 Joao Rocha Braga Filho goffr...@gmail.com Estou tendo um DOS, que afeta toda a parte de TCP. O squid diz que não tem buffers disponíveis. O ssh não estabelece conexão. Tudo relativo ao squid para. Os file descriptors abertos pelo sistema ficam na ordem de 3 mil, de 12 mil possíveis. Em outros ataques de DOS eu notei uma quantidade grande de file descriptors abertos, o que não foi o caso agora, que mesmo alto, não esgotou. Baixeio cache do squid para 700 MB e aparentemente parou de acontecer. Bloquear conexões entrantes não adianta não? Aqui bloquei todas as conexões entrantes e deu uma aliviada no squid . -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
2009/6/25 Nilton Jose Rizzo ri...@i805.com.br: On Thu, 25 Jun 2009 16:15:29 -0300, Joao Rocha Braga Filho wrote 2009/6/25 Joao Rocha Braga Filho goffr...@gmail.com Estou tendo um DOS, que afeta toda a parte de TCP. O squid diz que não tem buffers disponíveis. O ssh não estabelece conexão. Tudo relativo ao squid para. Os file descriptors abertos pelo sistema ficam na ordem de 3 mil, de 12 mil possíveis. Em outros ataques de DOS eu notei uma quantidade grande de file descriptors abertos, o que não foi o caso agora, que mesmo alto, não esgotou. Baixeio cache do squid para 700 MB e aparentemente parou de acontecer. Bloquear conexões entrantes não adianta não? Aqui bloquei todas as conexões entrantes e deu uma aliviada no squid Faz sentido. O squid não está atendendo conexões vindas de fora da rede, mas não existe o impedimento delas serem tentadas. Não sei como posso ter esquecido disto. O pior, estas regras estão no ar sem grandes modificações uns 2 anos. Aliás, revendo as regras, somente um punhado de conexões são aceitas, e o resto é negado, inclusive para a porta 3128. João Rocha. . -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
Eu tive varios problemas com isso. Dá um sockstat e vê se não tem um cliente gerando muitas conexões simultaneas. No meu caso o tinha clientes milhares de conexões abertas. Anderson Eduardo c0d3_z3r0 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
não sei se é o caso, mas não custa averiguar, pois ja presenciei um servidor Linux que travou devido um cliente com spyware, na qual tentar acessar a net, mas o squid autenticado barrava as tentativas, isso foi engordando o log do squid até o ponto de encher a partição, mas o mesmo pode causar o esgotamento dos recursos da máquina. abraços 2009/6/25 Anderson Eduardo ander...@hacknroll.com: Eu tive varios problemas com isso. Dá um sockstat e vê se não tem um cliente gerando muitas conexões simultaneas. No meu caso o tinha clientes milhares de conexões abertas. Anderson Eduardo c0d3_z3r0 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
2009/6/25 Anderson Eduardo ander...@hacknroll.com Eu tive varios problemas com isso. Dá um sockstat e vê se não tem um cliente gerando muitas conexões simultaneas. É uma excelente sugestão. Vou usar isto na próxima ocorrência. João Rocha. No meu caso o tinha clientes milhares de conexões abertas. Anderson Eduardo c0d3_z3r0 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
2009/6/25 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com não sei se é o caso, mas não custa averiguar, pois ja presenciei um servidor Linux que travou devido um cliente com spyware, na qual tentar acessar a net, mas o squid autenticado barrava as tentativas, isso foi engordando o log do squid até o ponto de encher a partição, mas o mesmo pode causar o esgotamento dos recursos da máquina. Os espaços em disco estão Ok. E um problema destes eu já presenciei. Entupiu os file descriptors, e gerou muitos logs. O programa era para fazer um DOS, ou DDOS, em um site, abrindo muitas conexões dentro do mesmo milisegundo, e as abandonava. O meu palpite era forjando pacotes. Este tipo de ataque gera um comportamento muito bem definido nos logs, que não foi o caso. João Rocha. abraços 2009/6/25 Anderson Eduardo ander...@hacknroll.com: Eu tive varios problemas com isso. Dá um sockstat e vê se não tem um cliente gerando muitas conexões simultaneas. No meu caso o tinha clientes milhares de conexões abertas. Anderson Eduardo c0d3_z3r0 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DOS no squid?
2009/6/25 Anderson Eduardo ander...@hacknroll.com: Eu tive varios problemas com isso. Dá um sockstat e vê se não tem um cliente gerando muitas conexões simultaneas. Perfeito. O aumento dos sockets impediu que o servidor fosse comprometido com o ataque que está acontecendo agora, e o sockstat me disse quem está fazendo o ataque. Resolvido. Muito obrigado. João Rocha. No meu caso o tinha clientes milhares de conexões abertas. Anderson Eduardo c0d3_z3r0 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd