flood tcp?

Qualsiasi tipo di pacchetto puo' essere usato in un attacco 'flood' teso ad
esaurire la banda, con effetti piu' o meno ampi in base a diverse
variabili.. ci sono poi vari attacchi mirati ad esaurire le risorse od
altro. Cerca sugli archivi della mailing list parole tipo 'flood' & co.

Ps: visto che sembra un portscan, potrebbe essere un portscan, come appunto
snort identifica (vedi la manpage di nmap, che puoi trovare anche online,
per una spiegazione + approfondita sull'utilita' di quel tipo di pacchetti
('null') -> http://www.insecure.org/nmap/index.html

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
From: Ste \(mustafa?\) <estebantodoloco@inwind.it>
Subject: flood tcp?
Date: Mon, 4 Nov 2002 11:49:58 +0100

ciao a tutti,
un po' di giorni fa ho subito un denial of service per 20 minuti.

i log di snort pero' sono di questo tipo:

[**] spp_stream4: STEALTH ACTIVITY (NULL scan) detection [**]
10/28-15:53:59.404714 XXX.XXX.XXX.XXX:32300 -> XXX.XXX.XXX.XXX:13
TCP TTL:226 TOS:0x8 ID:37268 IpLen:20 DgmLen:40 DF
******** Seq: 0x6A36CE68  Ack: 0x0  Win: 0x4000  TcpLen: 20

dove la porta di destinazione cambia sempre, proprio come se fosse un
portscan.

la domanda e': esistono attacchi di questo tipo? nella mia ignoranza
conoscevo solo flood icmp e udp...

p.s. si tenga presente che l'attacco proveniva da una subnet/24 di telecom
china. suppongo che la banda non sia certo un problema :-) (la sicurezza di
tale subnet e' invece da mani nei capelli, a partire <*** sezione censurata
***>

grazie per gli eventuali chiarimenti

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List