user: "Mirek"

Mozecie zerknąc na dane ponizej? Nie jestem pewien ale wyglada na to ze ktos wykonuje na nas atak DoS. Od kilkunastu godzin mamy problemu z dostepem do internetu z powodu zbyt duzej ilosci polaczen na dansguardian. Jest to maszyna z linuksem (Trustix) na której jest firewall, squid (3128), i DN (8080). Przyznam ze narazie jestem bezradny - od kilku lat to administruje ale takiej sytuacji jeszcze nie miałem. Nie bardzo wiem jak moge sobnie z tym poradzic bo narazie muszę co chwila restartowac DN aby uzytkownicy mogli korzystac z www. Po restarcie DN bardzo szybko przyrasta liczba polaczen i osiąga max w ciagu paru minut. HELP PLEASE!!! Mirek /var/log/messages Sep 4 08:06:52 simon dansguardian: Warning - at maximal connection number! Sep 4 08:07:23 simon last message repeated 3148 times Sep 4 08:07:24 simon last message repeated 136 times Sep 4 08:07:24 simon dansguardian: Warning - at maximal connection number! Sep 4 08:07:34 simon last message repeated 1011 times /var/log/squid/access.log 127.0.0.1 - - [01/Sep/2006:22:02:22 +0200] "CONNECT rqwer.101main.com:25 HTTP/1.0" 200 342 TCP_MISS:DIRECT 127.0.0.1 - - [01/Sep/2006:22:06:56 +0200] "CONNECT 203.84.195.1:25 HTTP/1.0" 200 2953 TCP_MISS:DIRECT tcpdump -n -i eth0 08:14:48.226430 IP 81.191.64.35.25 > 80.53.xx.xx.44911: P 660:731(71) ack 365 win 16060 08:14:48.226512 IP 80.53.xx.xx.44911 > 81.191.64.35.25: . ack 731 win 5840 08:14:48.228370 IP 80.53.xx.xx.8080 > 59.112.209.11.3661: P 660:731(71) ack 365 win 5840 08:14:48.238497 IP 213.215.229.19.25 > 80.53.xx.xx.45045: P 510:565(55) ack 3059 win 8688 08:14:48.238576 IP 80.53.xx.xx.45045 > 213.215.229.19.25: . ack 565 win 5840 08:14:48.240461 IP 202.82.38.51.25 > 80.53.xx.xx.46201: P 1:27(26) ack 1 win 5520 08:14:48.240507 IP 80.53.xx.xx.46201 > 202.82.38.51.25: . ack 27 win 5840 08:14:48.242199 IP 219.84.2.108.1154 > 80.53.xx.xx.8080: P 92:129(37) ack 286 win 65249 08:14:48.242347 IP 80.53.xx.xx.8080 > 219.84.2.108.1154: . ack 129 win 5840 08:14:48.243691 IP 80.53.xx.xx.8080 > 61.230.1.104.2745: P 362:414(52) ack 248 win 17424 08:14:48.243939 IP 220.134.112.135.25 > 80.53.xx.xx.45669: P 301:347(46) ack 306 win 65086 08:14:48.244002 IP 80.53.xx.xx.45669 > 220.134.112.135.25: . ack 347 win 5840 08:14:48.244431 IP 80.53.xx.xx.46117 > 212.118.28.82.25: P 92:129(37) ack 248 win 5840 08:14:48.246234 IP 80.53.xx.xx.8080 > 124.8.77.241.4802: P 353:399(46) ack 307 win 5840 08:14:48.247143 IP 59.167.194.16.25 > 80.53.xx.xx.45737: P 402:450(48) ack 305 win 33120 08:14:48.247217 IP 80.53.xx.xx.45737 > 59.167.194.16.25: . ack 450 win 5840 08:14:48.263679 IP 80.53.xx.xx.43661 > 213.133.197.130.25: P 326:344(18) ack 400 win 5840 08:14:48.264212 IP 210.64.200.101.4771 > 80.53.xx.xx.8080: S 3741047648:3741047648(0) win 65535 08:14:48.264320 IP 80.53.xx.xx.8080 > 210.64.200.101.4771: S 2912718859:2912718859(0) ack 3741047649 win 5840 08:14:48.279887 IP 201.245.25.62.25 > 80.53.xx.xx.45896: P 270:303(33) ack 218 win 5840 08:14:48.279947 IP 80.53.xx.xx.45896 > 201.245.25.62.25: . ack 303 win 5840 08:14:48.281623 IP 80.53.xx.xx.8080 > 61.230.1.104.4870: P 270:303(33) ack 218 win 5840 netstat -nNtpa tcp 0 0 127.0.0.1:58930 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58931 127.0.0.1:3128 ESTABLISHED 16736/dansguardian tcp 0 0 127.0.0.1:58935 127.0.0.1:3128 ESTABLISHED 16738/dansguardian tcp 0 0 127.0.0.1:58933 127.0.0.1:3128 ESTABLISHED 16737/dansguardian tcp 0 0 127.0.0.1:58939 127.0.0.1:3128 ESTABLISHED 16740/dansguardian tcp 0 0 127.0.0.1:58937 127.0.0.1:3128 ESTABLISHED 16739/dansguardian tcp 0 0 127.0.0.1:58914 127.0.0.1:3128 FIN_WAIT2 - tcp 0 0 127.0.0.1:58912 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58918 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58916 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58922 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58920 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58926 127.0.0.1:3128 TIME_WAIT - tcp 0 0 127.0.0.1:58924 127.0.0.1:3128 TIME_WAIT - tcp 0 1 80.53.xx.xx:58684 210.17.38.39:25 SYN_SENT 859/(squid) tcp 1 0 127.0.0.1:3128 127.0.0.1:58835 CLOSE_WAIT 859/(squid) tcp 0 0 80.53.xx.xx:8080 61.230.1.104:3644 TIME_WAIT - tcp 0 0 80.53.xx.xx:58923 168.95.4.40:25 FIN_WAIT2 - tcp 0 1 80.53.xx.xx:58696 218.55.249.129:25 SYN_SENT 859/(squid) tcp 0 0 127.0.0.1:3128 127.0.0.1:58611 TIME_WAIT - tcp 0 0 127.0.0.1:3128 127.0.0.1:58771 TIME_WAIT - tcp 0 0 80.53.xx.xx:8080 59.112.209.11:3929 TIME_WAIT - tcp 0 1 80.53.xx.xx:58896 203.188.197.10:25 SYN_SENT 859/(squid) tcp 0 0 127.0.0.1:3128 127.0.0.1:58547 TIME_WAIT - tcp 0 1 80.53.xx.xx:58628 218.55.249.129:25 SYN_SENT 859/(squid) tcp 0 0 80.53.xx.xx:58381 193.214.114.234:25 TIME_WAIT - tcp 0 0 127.0.0.1:3128 127.0.0.1:58707 TIME_WAIT - tcp 0 0 80.53.xx.xx:8080 61.230.1.104:2748 TIME_WAIT - tcp 0 1 80.53.xx.xx:58838 218.55.249.129:25 SYN_SENT 859/(squid) tcp 0 0 127.0.0.1:3128 127.0.0.1:58643 TIME_WAIT - tcp 0 0 127.0.0.1:3128 127.0.0.1:58931 ESTABLISHED 859/(squid) tcp 0 0 80.53.xx.xx:58053 212.100.206.162:25 TIME_WAIT - tcp 0 0 80.53.xx.xx:8080 219.84.2.108:1929 TIME_WAIT - tcp 0 0 80.53.xx.xx:8080 219.84.2.108:2697 TIME_WAIT - /etc/dansguardian/dansguardian.conf # DansGuardian config file for version 2.4.6 reportinglevel = 3 htmltemplate = '/etc/dansguardian/template.html' loglevel = 1 logexceptionhits = off logfileformat = 1 filterip = filterport = 8080 proxyip = 127.0.0.1 proxyport = 3128 accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl' bannedphraselist = '/etc/dansguardian/bannedphraselist' exceptionphraselist = '/etc/dansguardian/exceptionphraselist' weightedphraselist = '/etc/dansguardian/weightedphraselist' bannedsitelist = '/etc/dansguardian/bannedsitelist' exceptionsitelist = '/etc/dansguardian/exceptionsitelist' exceptionurllist = '/etc/dansguardian/exceptionurllist' bannedurllist = '/etc/dansguardian/bannedurllist' bannedregexpurllist = '/etc/dansguardian/bannedregexpurllist' bannedextensionlist = '/etc/dansguardian/bannedextensionlist' bannedmimetypelist = '/etc/dansguardian/bannedmimetypelist' bannediplist = '/etc/dansguardian/bannediplist' exceptioniplist = '/etc/dansguardian/exceptioniplist' banneduserlist = '/etc/dansguardian/banneduserlist' exceptionuserlist = '/etc/dansguardian/exceptionuserlist' picsfile = '/etc/dansguardian/pics' weightedphrasemode = 2 naughtynesslimit = 150 showweightedfound = on reverseaddresslookups = off createlistcachefiles = on maxuploadsize = -1 usernameidmethodproxyauth = off usernameidmethodntlm = off # **NOT IMPLEMENTED** usernameidmethodident = off forwardedfor = off usexforwardedfor = on maxchildren = 240 logconnectionhandlingerrors = on

user: "Stachu 'Dozzie' K."

On 04.09.2006, Mirek wrote: > Mozecie zerknąc na dane ponizej? Nie jestem pewien ale wyglada na to ze ktos > wykonuje na nas atak DoS. Od kilkunastu godzin mamy problemu z dostepem do > internetu z powodu zbyt duzej ilosci polaczen na dansguardian. > > Jest to maszyna z linuksem (Trustix) na której jest firewall, squid (3128), > i DN (8080). > > Przyznam ze narazie jestem bezradny - od kilku lat to administruje ale > takiej sytuacji jeszcze nie miałem. Nie bardzo wiem jak moge sobnie z tym > poradzic bo narazie muszę co chwila restartowac DN aby uzytkownicy mogli > korzystac z www. Po restarcie DN bardzo szybko przyrasta liczba polaczen i > osiąga max w ciagu paru minut. Dlaczego wyglada mi to na open proxy? I po co wystawiles squida na swiat? Jakim cudem administrujesz _pare lat_ i takie bledy popelniles? > /var/log/squid/access.log > 127.0.0.1 - - [01/Sep/2006:22:02:22 +0200] "CONNECT rqwer.101main.com:25 > HTTP/1.0" 200 342 TCP_MISS:DIRECT > 127.0.0.1 - - [01/Sep/2006:22:06:56 +0200] "CONNECT 203.84.195.1:25 > HTTP/1.0" 200 2953 TCP_MISS:DIRECT -- Niektórzy lubią dozziego... Oczywiście szanujemy ich. Stanislaw Klekot

user: "Mirek"

> Dlaczego wyglada mi to na open proxy? I po co wystawiles squida na > swiat? > Jakim cudem administrujesz _pare lat_ i takie bledy popelniles? Jak widac zdarza się - dotychczas nie bylo zadnych problemów. A jak nie ma problemów to tego nie dotykam - tylko logi przeglądam. Ale mój błąd rzeczywiscie ewidentny :( Mirek

user: Skygge - nie pisz na ten adres!

Mi się tak zdarzyło jak jakiś dupek w sieci lokalnej odpalił emula i wpisał adres proxy na serwer i port DG. W kilkanaście sekund kilkaset połączeń i kilkadziesiąt procesów potomnych zapychało go skutecznie. Skygge. -- ...I've opened my mind and darkened my entire life... (tak gdzieś około -2EV) www.skygge.com, skygge.at.skygge.usunto.com

user: whitey <"whitey[N0.5PAM]"@gazeta.pl>

Mirek napisał(a): > Mozecie zerknąc na dane ponizej? Nie jestem pewien ale wyglada na to ze > ktos > wykonuje na nas atak DoS. Od kilkunastu godzin mamy problemu z dostepem do > internetu z powodu zbyt duzej ilosci polaczen na dansguardian. > > Jest to maszyna z linuksem (Trustix) na której jest firewall, squid (3128), > i DN (8080). > > Przyznam ze narazie jestem bezradny - od kilku lat to administruje ale > takiej sytuacji jeszcze nie miałem. Nie bardzo wiem jak moge sobnie z tym > poradzic bo narazie muszę co chwila restartowac DN aby uzytkownicy mogli > korzystac z www. Po restarcie DN bardzo szybko przyrasta liczba polaczen > i osiąga max w ciagu paru minut. a mozesz jakos limit konekcji w iptables wpisac dla ip podlaczajacych sie do squida? sprobuj -- whitey

user: Lemat

whitey napisał(a): > Mirek napisał(a): >> Mozecie zerknąc na dane ponizej? Nie jestem pewien ale wyglada na to >> ze ktos >> wykonuje na nas atak DoS. Od kilkunastu godzin mamy problemu z >> dostepem do >> internetu z powodu zbyt duzej ilosci polaczen na dansguardian. >> >> Jest to maszyna z linuksem (Trustix) na której jest firewall, squid >> (3128), >> i DN (8080). >> >> Przyznam ze narazie jestem bezradny - od kilku lat to administruje ale >> takiej sytuacji jeszcze nie miałem. Nie bardzo wiem jak moge sobnie z tym >> poradzic bo narazie muszę co chwila restartowac DN aby uzytkownicy mogli >> korzystac z www. Po restarcie DN bardzo szybko przyrasta liczba >> polaczen i osiąga max w ciagu paru minut. > > a mozesz jakos limit konekcji w iptables wpisac dla ip podlaczajacych > sie do squida? sory, ale to nie jest rozwiązanie problemu - gość ma/miał open-proxy a ty mu proponujesz schowanie głowy w piasek -- Pozdrawiam Lemat pomóż zwalczyć spam z ICIC: http://www.lemat.priv.pl/index.php?m=page&pg_id=106 podlinkuj się do http://icic.pl