{"id":326,"date":"2006-01-24T23:52:14","date_gmt":"2006-01-24T21:52:14","guid":{"rendered":"http:\/\/gnu.inter.it\/blogs\/fabu\/?p=326"},"modified":"2006-01-24T23:52:14","modified_gmt":"2006-01-24T21:52:14","slug":"sotto-attacco","status":"publish","type":"post","link":"https:\/\/fabioinvernizzi.com\/blog\/2006\/01\/24\/sotto-attacco\/","title":{"rendered":"Sotto attacco"},"content":{"rendered":"


\n19:14:24.707770 IP (tos 0x0, ttl 46, id 0, offset 0, flags [DF], proto: UDP (17), length: 29) 207.142.136.60.51838 > 217.169.113.132.53: [udp sum ok] [|domain]
\n 0x0000: 4500 001d 0000 4000 2e11 a9d7 cf8e 883c E.....@........<\/p>\n

Siamo sotto attacco... tonnellate di questi pacchetti malformati stanno arrivando a www.inter.it creando qualche problema (\u00e8 ovvio che con ogni probabilit\u00e0 l'ip sorgente \u00e8 spooffato). Prima di tutto esauriscono la banda (abbiamo superato i 70MB di traffico in ingresso), poi tendono, non so perch\u00e8 ad inchiodare lo stacl tcp\/ip della macchina che li riceve.<\/p>\n

\"dos-spillo-udp53.png\"<\/p>\n

Ovviamente tutti i pacchetti sono droppati (e ho messo anche una null route sull'ip mittente)... ci\u00f2 non toglie che ogni tanto qualcosa si *rompa* e la scheda di rete sotto attacco sempri defunta; per fortuna che posso entrare da un'altra ethernet: \u00e8 sufficiente riavviare il networking perch\u00e8 riprenda a funzionare.<\/p>\n

Spero che Telecom mi dia una mano a bloccare questo traffico un po' pi\u00f9 a monte, in modo da evitare il traffico sulle nostre macchine.<\/p>\n

A dire il vero temo anche che, non saprei come, tutto ci\u00f2 sia colpa del nostro beneamato provider, visto che a partire dalle 14:30 hanno avuto problemi su tutto il data center.<\/p>\n

Chiosa comica: mi scrive l'helpdesk dicendomi che abbiamo subito un tentativo di attacco che sfrutta un baco XML_RPC di PHP... peccato che non abbiamo php installato sulle macchine :-\/<\/p>\n

Burp: ora sono al telefono con un tecnico del NOC che mi dice che l'IP di cui sopra \u00e8 filtrato su tutto il datacenter... mah, chiss\u00e0 com'\u00e8 che io i pacchetti li vedo ancora arrivare :-(((<\/p>\n","protected":false},"excerpt":{"rendered":"

19:14:24.707770 IP (tos 0x0, ttl 46, id 0, offset 0, flags [DF], proto: UDP (17), length: 29) 207.142.136.60.51838 > 217.169.113.132.53: [udp sum ok] [|domain] 0x0000: 4500 001d 0000 4000 2e11 a9d7 cf8e 883c E…..@…….. Siamo sotto attacco… tonnellate di questi pacchetti malformati stanno arrivando a www.inter.it creando qualche problema (\u00e8 ovvio che con ogni probabilit\u00e0 … Continue reading Sotto attacco<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2],"tags":[4],"class_list":["post-326","post","type-post","status-publish","format-standard","hentry","category-me","tag-work"],"_links":{"self":[{"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/posts\/326"}],"collection":[{"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/comments?post=326"}],"version-history":[{"count":0,"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/posts\/326\/revisions"}],"wp:attachment":[{"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/media?parent=326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/categories?post=326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fabioinvernizzi.com\/blog\/wp-json\/wp\/v2\/tags?post=326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}