monkeys.com DDOSed to death :(

Oleg Cherevko

24 Sep 2003 24 Sep '03

6:52 a.m.

Говорят, что информация из NANOG'а: [Mimedefang] monkeys.dom UPL being DDOSed to death Jon R. Kibler mimedefang@lists.roaringpenguin.com Tue Sep 23 14:15:01 2003 Greetings to all: I have some really sad news. I just got off the telephone with Ron Guilmette who runs the monkeys.com Unsecured Proxies List DNSBL. I hate to say it, but monkeys.com has been killed. It has been DDOSed to death. Ron says that every aspect of his network is undergoing a massive DDOS attack from thousands of IPs -- apparently many/all spoofed. He has tried to get law enforcement to investigate, but to no avail. He indicated that this is probably the end of his service. This makes two DNSBLs that have been DDOSed to death recently. Which one is next? NJABL? ORDB? The computer security industry really needs to figure out how to get law enforcement to take these attacks seriously. It would only take a few good prosecutions to put an end to these types of attacks. Any thoughts/suggestions? This is really a dark day for those of us fighting spam. I looks like the spammers have won a BIG battle. The only question now is who will be the causality in this war? Jon R. Kibler A.S.E.T., Inc. Charleston, SC USA =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Show replies by date

Michael Petuschak

24 Sep 24 Sep

7:54 a.m.

Hi Oleg,

...

Говорят, что информация из NANOG'а:

I have some really sad news. I just got off the telephone with Ron Guilmette who runs the monkeys.com Unsecured Proxies List DNSBL. I hate to say it, but monkeys.com has been killed. It has been DDOSed to death.

Объясните мне, почему DDOS атаку нельзя переждать?

...

This makes two DNSBLs that have been DDOSed to death recently.

А кто уже умер? -- Michael Чтобы муж был верным, жена должна быть вдовой. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Oleg Cherevko

8:39 a.m.

On Wed, 24 Sep 2003, Michael Petuschak wrote:

...

...
Говорят, что информация из NANOG'а:

I have some really sad news. I just got off the telephone with Ron Guilmette who runs the monkeys.com Unsecured Proxies List DNSBL. I hate to say it, but monkeys.com has been killed. It has been DDOSed to death.

Объясните мне, почему DDOS атаку нельзя переждать?

Возможно, потому что она никак не кончается? (just my guess)

...

...
This makes two DNSBLs that have been DDOSed to death recently.

А кто уже умер?

Думаю, имелся в виду relays.osirusoft.com, о котором не особо жалели (местами даже наоборот). -- Olwi =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

9:15 a.m.

Hi Oleg,

...

...
Объясните мне, почему DDOS атаку нельзя переждать? Возможно, потому что она никак не кончается? (just my guess)

Да ну :) А еще можно переехать на другой блок IP. Или на другой домен. В смысле, если атака действительно хорошо устроена и это зараженные винды отовсюду бомбардируют по заданным адресам. -- Michael Пива к обеду в меру бери. Пей понемножку - литра по три... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

12:57 p.m.

On Wed, Sep 24, 2003 at 09:15:50AM +0200, Michael Petuschak wrote:

...

Hi Oleg,

...
...
Объясните мне, почему DDOS атаку нельзя переждать? Возможно, потому что она никак не кончается? (just my guess)

Да ну :) А что странного? Вот например "краткая история" S1244 (скромный такой себе хостинг: десяток-два доменов обычно было, "в пиках" на DNS зависало ещё около пары сотен) - товарищи бегали-бегали, но вот несмотря на "заметно утихшую" деятельность и просто смешные масштабы, не считая просто смешных технических решений, spews'овцы неустанно бегали за этим с офигенно умным и важным видом более года, устраивая гадости вплоть до угрозы листинга /15 (считая нормальным давить на толстого ISP по поводу вынесения dialup account'ов у каких-то провайдеров "десятого уровня"). Так я думаю, они ведь не только за такими мелочами так гонялись... А привычка стрелять баллистическими ракетами по воробъям - наверно заразная штука.

...

А еще можно переехать на другой блок IP. Или на другой домен.

s1244 ездило минимум по 4 доменам. А блоков IP-адресов сменилось вообще куча. Результатов около 0(на самом деле это следствие тяжести процесса "бесследно исчезнуть и появиться из неоткуда"). Может какому-то monkeys.com это сделать проще (внезапно сменить домен+IP), ибо у него нет клиентов и контрактов, но тем не менее - результат будет "пользователи отказались от использования ..." + "пользователи получили кучу гемороя из-за недоступности ...".

...

В смысле, если атака действительно хорошо устроена и это зараженные винды Ото не надо на винды гнать. "thousands of IP's" - это больше на кооперативную деятельность смахивает. отовсюду бомбардируют по заданным адресам. Гм. Просто предположения: в EV1.net bandwidth стоит не мало, а офигенно мало. $130 за P4+700GB traffic и реально 100mbit connection (ну, положим, если по приколу пропустить по нему эти самые 100 mbit и пакетами байт по 60 - то таки поинтересуются, что ж за траффик бегает у вас по интерфейсу - но и то, не сразу). Дык вот посчитайте стоимость DDoS в месяц, с использованием такой генерилки траффика. Hint: там же есть и подешевле тазики, и к ним тоже уйма гигов прилагаются (Так, надо переходить на рекламу rackspace - там денег обещают платить за привлечённых клиентов ;) ). Тут вообще кто-то представляет себе, что тамошний спам - это далеко не "пионер вася с модемом genius за 6$", и количество крутящихся денег+ прибыльность вообще зачастую превышают рамки разумного. Вобщем - при СССР боролись с наркоманами. И небыло большого бизнеса торговли наркотой и "базы потребителей". Теперь борятся с наркоторговлей - и хрен что получится (кроме отдельных больших и малых побед, орденов, гробов, и так по кругу до бесконечности). Аналогия между двумя такими разными бизнесами не прослеживается? Оба очень геморные и прибыльные, оба зависят от "клиентской базы". И с обоими борятся изначально неправильными методами, обречёнными в итоге на провал.

-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Babitch

3:25 p.m.

Hi, Michael! On Wed, Sep 24, 2003 at 09:15:50AM +0200, Michael Petuschak wrote:

...

Hi Oleg,

...
...
Объясните мне, почему DDOS атаку нельзя переждать? Возможно, потому что она никак не кончается? (just my guess)

Да ну :)

А еще можно переехать на другой блок IP. Или на другой домен. В смысле, если атака действительно хорошо устроена и это зараженные винды отовсюду бомбардируют по заданным адресам.

1) Каждый день менять IP-шник широкоизвестного сервиса проблематично. Тем более, что вирус может бомбить и по доменному имени. 2) Вирус может бомбить не только заданные адреса, но и сканировать походу мировое IP пространство. 3) Вирус таки "действительно хорошо устроен", он имеет общую базу данных, и работа по сканированию и атакам хорошо разделена и организована. В теле вируса, имеющегося у меня, имеется ссылка: http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006 Возможно это распределенная база... В общем этот вирусняк таки сильно достал всех... :( -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Galat

30 Sep 30 Sep

10:52 a.m.

Привет. До меня дошел слух, от заокеанских братьев, что DoS этот устроили крупные ISP с "вечнозеленого" континента. Т.е. им не тяжело выделить полосу в пару мегабит для "удавления" в смерть надоевших SPEWS. Osirusoft просто под раздачу попал за DNS-хостинг. Вот monkeys тоже видно "дослужились".... Сразу хочу оговориться - информация не проверенная. Вполне возможно что это "утка". -- Sergey Galat ----- Original Message ----- From: "Michael Petuschak" To: Sent: Wednesday, September 24, 2003 10:15 AM Subject: [uanog] Re: monkeys.com DDOSed to death :(

...

Hi Oleg,

...
...
Объясните мне, почему DDOS атаку нельзя переждать? Возможно, потому что она никак не кончается? (just my guess)

Да ну :)

А еще можно переехать на другой блок IP. Или на другой домен. В смысле, если атака действительно хорошо устроена и это зараженные винды отовсюду бомбардируют по заданным адресам.

-- Michael Пива к обеду в меру бери. Пей понемножку - литра по три... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Valentin Nechayev

10:56 a.m.

Tue, Sep 30, 2003 at 11:52:25, grey wrote about "[uanog] Re: monkeys.com DDOSed to death :(":

...

До меня дошел слух, от заокеанских братьев, что DoS этот устроили крупные ISP с "вечнозеленого" континента. ~~~~~~~~~~~~~ переведи.

...

Т.е. им не тяжело выделить полосу в пару мегабит для "удавления" в смерть надоевших SPEWS. Osirusoft просто под раздачу попал за DNS-хостинг. Вот monkeys тоже видно "дослужились"....

Сразу хочу оговориться - информация не проверенная. Вполне возможно что это "утка".

В рассылках проходило? -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

11 a.m.

Hi Valentin,

...

...
До меня дошел слух, от заокеанских братьев, что DoS этот устроили крупные ISP с "вечнозеленого" континента. переведи.

Greenland!!! :) -- Michael Мне бы немного терпения. Прямо сейчас!!! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Galat

1 Oct 1 Oct

10 a.m.

----- Original Message ----- From: "Valentin Nechayev" To: Sent: Tuesday, September 30, 2003 11:56 AM Subject: [uanog] Re: monkeys.com DDOSed to death :(

...

Tue, Sep 30, 2003 at 11:52:25, grey wrote about "[uanog] Re: monkeys.com DDOSed to death :(":

...
До меня дошел слух, от заокеанских братьев, что DoS этот устроили крупные ISP с "вечнозеленого" континента. ~~~~~~~~~~~~~ переведи. Ну деньги у них зеленого цвета. ;)

...

...
Т.е. им не тяжело выделить полосу в пару мегабит для "удавления" в смерть надоевших SPEWS. Osirusoft просто под раздачу попал за DNS-хостинг. Вот monkeys тоже видно "дослужились"....

Сразу хочу оговориться - информация не проверенная. Вполне возможно что это "утка".

В рассылках проходило?

Скорее всего - нет, но точно не знаю. -- Sergey Galat =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

12:06 a.m.

On Tue, Sep 30, 2003 at 11:52:25AM +0300, Sergey Galat wrote:

...

Привет.

До меня дошел слух, от заокеанских братьев, что DoS этот устроили крупные ISP с "вечнозеленого" континента. Врядли напрямую "вот так и устроили". Но пример - dialup на earthlink.net - приваливал flood ping с какого-то earthlink'овского роутера, причём когда диалап был у другого ISP - ничего такого не наблюдалось. Короче - самодеятельность отдельных лиц. Т.е. им не тяжело выделить полосу в пару мегабит для "удавления" в смерть надоевших ИМХО, легче, чем терпеть дибиловатый шантаж - причём мыслите вы здешними масштабами, там ваще-то скорее "пару сотен мегабит", причём "не один раз". Если б пары мегабит хватало - то уже б я поприкалывался (я вообще не злобный, но шутки иногда нехорошие получаются). SPEWS. Osirusoft просто под раздачу попал за DNS-хостинг. Osirusoft - за то, что в "дефолтном комплекте" выдавал spews-листинг. А туда столько всего напопадало, что читать NANAE и ржать от постингов типа "мы не спамеры, отлистите наш блок назад - Да, вы мудаки, смените ISP или запинайте его досмерти, или rot in spews", или "компания XXX специально перемещает спамеров с одних IP-блоков в другие, а невинных юзеров - в залистеные блоки", при этом ежу понятно, что IP-адреса там динамически выдаются из безразмерных пулов просто. Вот monkeys тоже видно "дослужились"....

Сразу хочу оговориться - информация не проверенная. Вполне возможно что это "утка". Утка или не утка - но когда наступаешь всем окружающим на, гм, я^Hноги, то ничем хорошим это не кончится. Даже если объяснять зачем ты это делаешь и почему. Потери легальных бизнесов от действий spews - думаю сотни K$, а спамерам/spam support services - ну "неудобства, вызванные особенностью отрасли бизнеса". Хотя эти неудобства - тоже десятки тысяч $ в пределах одной конторы, а контор таких ведь валом просто.

Sergey Galat

10:08 a.m.

Ну не знаю, сказал то, что слышал. Продолжать не особо хочу, .... и так на дэзинформацию сильно смахивает ;) -- Sergey Galat ----- Original Message ----- From: "Paul Arakelyan" To: Sent: Wednesday, October 01, 2003 1:06 AM Subject: [uanog] Re: monkeys.com DDOSed to death :(

...

On Tue, Sep 30, 2003 at 11:52:25AM +0300, Sergey Galat wrote:

...
Привет.

До меня дошел слух, от заокеанских братьев, что DoS этот устроили крупные ISP с "вечнозеленого" континента. Врядли напрямую "вот так и устроили". Но пример - dialup на earthlink.net - приваливал flood ping с какого-то earthlink'овского роутера, причём когда диалап был у другого ISP - ничего такого не наблюдалось. Короче - самодеятельность отдельных лиц. Т.е. им не тяжело выделить полосу в пару мегабит для "удавления" в смерть надоевших ИМХО, легче, чем терпеть дибиловатый шантаж - причём мыслите вы здешними масштабами, там ваще-то скорее "пару сотен мегабит", причём "не один раз". Если б пары мегабит хватало - то уже б я поприкалывался (я вообще не злобный, но шутки иногда нехорошие получаются). SPEWS. Osirusoft просто под раздачу попал за DNS-хостинг. Osirusoft - за то, что в "дефолтном комплекте" выдавал spews-листинг. А туда столько всего напопадало, что читать NANAE и ржать от постингов типа "мы не спамеры, отлистите наш блок назад - Да, вы мудаки, смените ISP или запинайте его досмерти, или rot in spews", или "компания XXX специально перемещает спамеров с одних IP-блоков в другие, а невинных юзеров - в залистеные блоки", при этом ежу понятно, что IP-адреса там динамически выдаются из безразмерных пулов просто. Вот monkeys тоже видно "дослужились"....

Сразу хочу оговориться - информация не проверенная. Вполне возможно что это "утка". Утка или не утка - но когда наступаешь всем окружающим на, гм, я^Hноги, то ничем хорошим это не кончится. Даже если объяснять зачем ты это делаешь и почему. Потери легальных бизнесов от действий spews - думаю сотни K$, а спамерам/spam support services - ну "неудобства, вызванные особенностью отрасли бизнеса". Хотя эти неудобства - тоже десятки тысяч $ в пределах одной конторы, а контор таких ведь валом просто.

-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Babitch

24 Sep 24 Sep

3:16 p.m.

Hi, Oleg! On Wed, Sep 24, 2003 at 09:39:32AM +0300, Oleg Cherevko wrote:

...

On Wed, 24 Sep 2003, Michael Petuschak wrote:

...
...
Говорят, что информация из NANOG'а:

I have some really sad news. I just got off the telephone with Ron Guilmette who runs the monkeys.com Unsecured Proxies List DNSBL. I hate to say it, but monkeys.com has been killed. It has been DDOSed to death.

Объясните мне, почему DDOS атаку нельзя переждать?

Возможно, потому что она никак не кончается? (just my guess)

Возможно и потому, что это распределенная и _КОСВЕННАЯ_ атака. Рассмотрим на примере news.lucky.net. Вирус WORM_SWEN.A разползся по миру, как утверждает ниже приведенный источник в 100.000 экземплярах. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A Все особи вируса жаждут ньюсов. Ломятся на open usenet servers, каковым уже очень давно является news.lucky.net по некоторому набору групп (26 штук), притом ломятся зачастую бесцельно (открыли соединение и сразу его закрывают), по 3-5 соединений в секунду. В общем позавчера news.lucky.net постепенно стал переставать быть public open usenet servers. В первую очередь стал переставать для японцев, китайцев, не RIPE-овские блоки отстреливаются по самую шею (/8, /7), на райповские смотрю внимательнее. Не Украина отстреливается AS-ами. Украина блоками не мнеее /24. Атака продолжается 4-е сутки, и похоже только усиливается :( Похоже, очень многие open servers-а (и не только usenet), после этой эпидемии перестанут быть open :( По крайней мере на news.lucky.net IP-фильтры не будут сняты без письменной просьбы и после затухания эпидемии, и здается мне что письменных просьб практически не будет... -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

3:36 p.m.

Hi Sergey,

...

...
...
Объясните мне, почему DDOS атаку нельзя переждать?

Возможно, потому что она никак не кончается? (just my guess)

Возможно и потому, что это распределенная и _КОСВЕННАЯ_ атака. Рассмотрим на примере news.lucky.net. Вирус WORM_SWEN.A разползся по миру, как утверждает ниже приведенный источник в 100.000 экземплярах.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A

Все особи вируса жаждут ньюсов. Ломятся на open usenet servers,

Так и не понял из описания, чего им там надо. И она все равно закончится. "Я так думаю" [Мимино] -- Michael Марш "Прощание славянки с инородцем". =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Babitch

3:43 p.m.

Hi, Michael! On Wed, Sep 24, 2003 at 03:36:59PM +0200, Michael Petuschak wrote: [Skipped by Sergey Babitch]

...

...
Все особи вируса жаждут ньюсов. Ломятся на open usenet servers,

Так и не понял из описания, чего им там надо.

В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно. Вернее понятно, если считать это явон выраженной DoS атакой.

...

И она все равно закончится. "Я так думаю" [Мимино]

После того, как не останется ниодного публичного сервиса :( P.S. Борьба за мир будет такой ... Что камня на камне не останется... (c) Не помню чей... -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Oleg Panashchenko

3:54 p.m.

...

On Wed, Sep 24, 2003 at 03:36:59PM +0200, Michael Petuschak wrote:

[Skipped by Sergey Babitch]

...
...
Все особи вируса жаждут ньюсов. Ломятся на open usenet servers,

Так и не понял из описания, чего им там надо.

В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно. Вернее понятно, если считать это явон выраженной DoS атакой.

А вот если... Такой кошачий(?) фильтр, что ограничивает количество входящих пакетов с SYN_FLAG через внешнюю трубу до стольки-то штук в минуту для такого-то блока IP-адресов. Выделить всему Китаю/8 всего 20 SYN'ов в минуту - фиг он какой сервис положит. А пройдет волна - все само и откроется. Олег =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Babitch

4:12 p.m.

Hi, Oleg! On Wed, Sep 24, 2003 at 09:54:31AM -0400, Oleg Panashchenko wrote:

...

...
On Wed, Sep 24, 2003 at 03:36:59PM +0200, Michael Petuschak wrote:

[Skipped by Sergey Babitch]

...
...
Все особи вируса жаждут ньюсов. Ломятся на open usenet servers,

Так и не понял из описания, чего им там надо.

В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно. Вернее понятно, если считать это явон выраженной DoS атакой.

А вот если...

Такой кошачий(?) фильтр, что ограничивает количество входящих пакетов с SYN_FLAG через внешнюю трубу до стольки-то штук в минуту для такого-то блока IP-адресов.

Это можно сделать и на unix-ном firewall-е.

...

Выделить всему Китаю/8 всего 20 SYN'ов в минуту - фиг он какой сервис положит. А пройдет волна - все само и откроется.

Вся беда в том, что это не только Китай. Это и Америка (US), и Канада (CA), и Англия (UK), и Италия, и Тайвань. Это то что на вскидку я помню уже. А вообще, на news.lucky.net уже отфильтровано более 50 достаточно крупных префиксов: -A TWIT -s 24.80.0.0/13 -j DENY -A TWIT -s 61.0.0.0/8 -j DENY -A TWIT -s 62.0.64.0/18 -j DENY -A TWIT -s 63.64.0.0/10 -j DENY -A TWIT -s 63.138.0.0/15 -j DENY -A TWIT -s 63.176.0.0/12 -j DENY -A TWIT -s 64.38.64.0/19 -j DENY -A TWIT -s 64.78.76.0/24 -j DENY -A TWIT -s 65.85.0.0/16 -j DENY -A TWIT -s 67.112.0.0/12 -j DENY -A TWIT -s 68.50.0.0/16 -j DENY -A TWIT -s 68.72.0.0/13 -j DENY -A TWIT -s 68.164.0.0/14 -j DENY -A TWIT -s 80.117.0.0/16 -j DENY -A TWIT -s 80.128.0.0/11 -j DENY -A TWIT -s 80.176.0.0/15 -j DENY -A TWIT -s 81.58.0.0/15 -j DENY -A TWIT -s 81.6.192.0/18 -j DENY -A TWIT -s 142.165.0.0/16 -j DENY -A TWIT -s 142.166.0.0/16 -j DENY -A TWIT -s 151.30.0.0/16 -j DENY -A TWIT -s 158.254.0.0/16 -j DENY -A TWIT -s 193.250.0.0/16 -j DENY -A TWIT -s 194.244.0.0/16 -j DENY -A TWIT -s 195.121.0.0/16 -j DENY -A TWIT -s 200.0.0.0/8 -j DENY -A TWIT -s 202.0.0.0/7 -j DENY -A TWIT -s 205.200.0.0/16 -j DENY -A TWIT -s 205.240.0.0/13 -j DENY -A TWIT -s 206.148.0.0/15 -j DENY -A TWIT -s 207.48.0.0/14 -j DENY -A TWIT -s 207.69.0.0/16 -j DENY -A TWIT -s 207.222.224.0/19 -j DENY -A TWIT -s 208.186.0.0/15 -j DENY -A TWIT -s 209.52.0.0/16 -j DENY -A TWIT -s 209.86.0.0/16 -j DENY -A TWIT -s 209.205.128.0/18 -j DENY -A TWIT -s 209.208.0.0/16 -j DENY -A TWIT -s 210.0.0.0/7 -j DENY -A TWIT -s 212.77.192.0/19 -j DENY -A TWIT -s 212.166.64.0/19 -j DENY -A TWIT -s 213.61.0.0/16 -j DENY -A TWIT -s 213.235.128.0/18 -j DENY -A TWIT -s 216.76.0.0/14 -j DENY -A TWIT -s 216.179.0.0/16 -j DENY -A TWIT -s 217.0.0.0/13 -j DENY -A TWIT -s 217.80.0.0/12 -j DENY -A TWIT -s 217.129.0.0/16 -j DENY -A TWIT -s 217.134.0.0/15 -j DENY -A TWIT -s 217.208.0.0/13 -j DENY -A TWIT -s 217.224.0.0/11 -j DENY -A TWIT -s 218.0.0.0/7 -j DENY -A TWIT -s 220.0.0.0/7 -j DENY И эта таблиза продолжает пополняться... Опять же, тупо ограничить количество SYN-пакетов до 10 штук в минуту тоже несколько проблематично... Некоторые клиенты делают и больше... Например из-за NAT-а, или с того же webnews.lucky.net. -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Kohmanyuk Дмитрий Кохманюк

8:35 p.m.

On Wed, Sep 24, 2003 at 05:12:44PM +0300, Sergey Babitch wrote:

...

...
Такой кошачий(?) фильтр, что ограничивает количество входящих пакетов с SYN_FLAG через внешнюю трубу до стольки-то штук в минуту для такого-то блока IP-адресов.

Это можно сделать и на unix-ном firewall-е.

я предпочел бы адаптивный фильтр - просто смотрит, в каком блоке сколько пакетов, и меняет threshold. Такой себе RAD с аггрегированием ;) то есть пока из блока X идет 5 или 10 syn/min - нормально; как только пришло 100 в минуту - сразу зарезать до 5 и подождать час.

...

И эта таблиза продолжает пополняться...

Опять же, тупо ограничить количество SYN-пакетов до 10 штук в минуту тоже несколько проблематично... Некоторые клиенты делают и больше... Например из-за NAT-а, или с того же webnews.lucky.net.

ну whitelist все равно может быть. Хотя проще всего именно мерять частоту для блоков. Некий такой ddosd ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

3:55 p.m.

Hi Sergey,

...

В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно.

Одновременно или по очереди? А можно не давать закрывать так быстро? :) -- Michael Не давайте ему точку опоры, он хочет перевернуть мир! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

4:04 p.m.

Michael Petuschak wrote:

...

...
В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно.

Одновременно или по очереди? А можно не давать закрывать так быстро? :)

помнится мне, в конфиге для nnrp есть ряд опций, которые лимитируют откртиые соединения с одного хоста - частотой и количеством. Но я могу ошибаться - в последний раз видел конфиг INN несколько лет назад :) -- :r !ripewhois DOKA-RIPE ------------------------------------------------------------------------- Never try to teach a pig to sing. It wastes your time and annoys the pig. -- Lazarus Long, "Time Enough for Love" =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Babitch

4:35 p.m.

Hi, Vladimir! On Wed, Sep 24, 2003 at 05:04:31PM +0300, Vladimir Litovka wrote:

...

Michael Petuschak wrote:

...
...
В описании написано, что они там берут E-Mail адреса куда себя рассылать, но практика показала что это туфта... Не, может и берут, но _КАКРАЗ_ЭТО_ на скорость полета не влияет. А вот зачем они открывают по 3-5 соединений в секунду и тут же их закрывают - непонятно.

Одновременно или по очереди?

Трудно сказать... По логу вроде одновременно, но такой записи в лог можно добиться и последовательным открытием соединения без закрытия (отвал по timeout-у). Да и какая разница, если по 3-5 соединений в секунду ;)

...

...
А можно не давать закрывать так быстро? :)

;) Тогда все ляжет еще быстрее... Хотя - не факт... При определенной организации может быть и совсем не так... В общем нужно подумать ;))) В начале просто небыло времени думать, сервис ложился и нужно было быстро стрелять... А потом разбираться ;)

...

помнится мне, в конфиге для nnrp есть ряд опций, которые лимитируют откртиые соединения с одного хоста - частотой и количеством. Но я могу ошибаться - в последний раз видел конфиг INN несколько лет назад :)

Для достижения цели DoS атаки не важно пустили тебя или нет. При коннекте на порт пускается (или отфоркивается) еще один процесс который жрет системный ресурс (пишет в лог, занимает процессор размышлениями, etc.). Вот эти процессы и поднимают LA, при достижении которым величины 16 блокируется сервис для всех. Единственное спасение - отстрелить firewall-ом, т.е. не дать запуститься большому количеству процессов и не поднять LA до критической величины. -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

6:13 p.m.

On Wed, Sep 24, 2003 at 05:35:41PM +0300, Sergey Babitch wrote:

...

Для достижения цели DoS атаки не важно пустили тебя или нет. При коннекте на порт пускается (или отфоркивается) еще один процесс который жрет системный ресурс (пишет в лог, занимает процессор размышлениями, etc.). Вот эти процессы и поднимают LA, при достижении которым величины 16 блокируется сервис для всех.

Тут есть вариант - отрабатывать всякие acl до того, как fork(). Это конечно, не всюду подходит, но я так делал - хотя цель была чуть другая (lightweight http proxy+bannercutter for win32/cygwin).

...

Единственное спасение - отстрелить firewall-ом, т.е. не дать запуститься большому количеству процессов и не поднять LA до критической величины. Может тогда разделить сервис немного: tcp proxy с acl'ами всякими и начальной обработкой соединения (сказать здрасьте и подождать ответ, далее пустить)--> real news server. Единственный недостаток такого - логи news-сервера станут бесполезными почти (если не хакать news-server).

Dmitry Alyabyev

3:45 p.m.

On Wednesday 24 September 2003 16:16, Sergey Babitch wrote:

...

Возможно и потому, что это распределенная и _КОСВЕННАЯ_ атака. Рассмотрим на примере news.lucky.net. Вирус WORM_SWEN.A разползся по миру, как утверждает ниже приведенный источник в 100.000 экземплярах.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A

Все особи вируса жаждут ньюсов. Ломятся на open usenet servers, каковым уже очень давно является news.lucky.net по некоторому набору групп (26 штук), притом ломятся зачастую бесцельно (открыли соединение и сразу его закрывают), по 3-5 соединений в секунду. В общем позавчера news.lucky.net постепенно стал переставать быть public open usenet servers. В первую очередь стал переставать для японцев, китайцев, не RIPE-овские блоки отстреливаются по самую шею (/8, /7), на райповские смотрю внимательнее. Не Украина отстреливается AS-ами. Украина блоками не мнеее /24.

Атака продолжается 4-е сутки, и похоже только усиливается :(

Похоже, очень многие open servers-а (и не только usenet), после этой эпидемии перестанут быть open :(

По крайней мере на news.lucky.net IP-фильтры не будут сняты без письменной просьбы и после затухания эпидемии, и здается мне что письменных просьб практически не будет...

могу только покивать и сказать, что все сказанное Сергеем целиком справедливо и для news.kiev.sovam.com (news.svitonline.com) ! sorry guys :( -- _____________________________ Regards, Dmitry Alyabyev System Administrator Golden Telecom LLC Tel: +380 44 4900000 Email: dimitry@svitonline.com _____________________________ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Olexandr Ostapenko

11:26 p.m.

From: "Dmitry Alyabyev" To: Sent: 24 September, 2003 3:45 PM Subject: [uanog] Re: monkeys.com DDOSed to death :(

...

On Wednesday 24 September 2003 16:16, Sergey Babitch wrote:

...
Атака продолжается 4-е сутки, и похоже только усиливается :(

Похоже, очень многие open servers-а (и не только usenet), после этой эпидемии перестанут быть open :(

По крайней мере на news.lucky.net IP-фильтры не будут сняты без письменной просьбы и после затухания эпидемии, и здается мне что письменных просьб практически не будет...

могу только покивать и сказать, что все сказанное Сергеем целиком справедливо и для news.kiev.sovam.com (news.svitonline.com) !

sorry guys :(

Жалко как... А можно продолжать фильтровать по nntp-шному порту, но одновременно открыть (и форвардить) какой-нибудь другой? Тогда "страдальцы" могли бы по-прежнему пользоваться любимыми ньюсочиталками. А то уж очень солидные блоки "под раздачу" попали, что, к сожалению, закономерно.

...

-- _____________________________ Regards, Dmitry Alyabyev System Administrator Golden Telecom LLC

Tel: +380 44 4900000 Email: dimitry@svitonline.com _____________________________

-- Best Regards, Olexandr Ostapenko. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Alyabyev

25 Sep 25 Sep

9:51 a.m.

On Thursday 25 September 2003 00:26, Olexandr Ostapenko wrote:

...

From: "Dmitry Alyabyev" To: Sent: 24 September, 2003 3:45 PM Subject: [uanog] Re: monkeys.com DDOSed to death :(

...
On Wednesday 24 September 2003 16:16, Sergey Babitch wrote:

...
Атака продолжается 4-е сутки, и похоже только усиливается :(

Похоже, очень многие open servers-а (и не только usenet), после этой эпидемии перестанут быть open :(

По крайней мере на news.lucky.net IP-фильтры не будут сняты без письменной просьбы и после затухания эпидемии, и здается мне что письменных просьб практически не будет...

могу только покивать и сказать, что все сказанное Сергеем целиком

справедливо

...
и для news.kiev.sovam.com (news.svitonline.com) !

sorry guys :(

Жалко как...

А можно продолжать фильтровать по nntp-шному порту, но одновременно открыть (и форвардить) какой-нибудь другой? Тогда "страдальцы" могли бы по-прежнему пользоваться любимыми ньюсочиталками.

ок, идея принята welcome to news.kiev.sovam.com:1119 -- _____________________________ Regards, Dmitry Alyabyev System Administrator Golden Telecom LLC Tel: +380 44 4900000 Email: dimitry@svitonline.com _____________________________ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Babitch

10:34 a.m.

Hi, Olexandr! On Wed, Sep 24, 2003 at 11:26:25PM +0200, Olexandr Ostapenko wrote: [Skipped by Sergey Babitch]

...

...
...
По крайней мере на news.lucky.net IP-фильтры не будут сняты без письменной просьбы и после затухания эпидемии, и здается мне что письменных просьб практически не будет...

могу только покивать и сказать, что все сказанное Сергеем целиком справедливо и для news.kiev.sovam.com (news.svitonline.com) !

sorry guys :(

Жалко как...

А можно продолжать фильтровать по nntp-шному порту, но одновременно открыть (и форвардить) какой-нибудь другой? Тогда "страдальцы" могли бы по-прежнему пользоваться любимыми ньюсочиталками.

Страдальца могут написать письмо на newsmaster@lucky.net, и им откроют то, что было открыто.

...

А то уж очень солидные блоки "под раздачу" попали, что, к сожалению, закономерно.

-- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

24 Sep 24 Sep

12:03 p.m.

On Wed, Sep 24, 2003 at 07:52:09AM +0300, Oleg Cherevko wrote:

...

Говорят, что информация из NANOG'а:

Ron says that every aspect of his network is undergoing a massive DDOS Ну - если spews потушили DDoS'ом, то значит будут так и далее. attack from thousands of IPs -- apparently many/all spoofed. He has tried to get law enforcement to investigate, but to no avail. He indicated that Маленький факт. Когда одной конторе "потушили" T1 с предупреждением за два часа "до того как", товарищи положили юристам $xxK (ото додумались, нет шоб десяток T1 построить). Так это я к тому, что law enforcement хрен пошевелится, если его не кормить офигенными бабками, которых обычно дело врядли стоит.

...

this is probably the end of his service. massive DDOS стоит денег, и думаю, они не бесконечны. Просто видать, то ли народу очень жить мешает этот monkeys, то ли они так хорошо зажили, что могут себе позволить действия "средней степени бесцельности".

...

This makes two DNSBLs that have been DDOSed to death recently. Which one is next? NJABL? ORDB? SPEWS'у так и надо - с их террористическими методами они могли достать просто ВСЕХ. А если ещё учесть "профессионализм" их "разбирателей полётов", то вообще "атомная бомба в руках туземцев" просматривается. Одно жалко - сайт исчез, а я себе его миррор не сделал.

...

The computer security industry really needs to figure out how to get law enforcement to take these attacks seriously. It would only take a few good То бишь "оторвите жопу от стула, заработайте денег, и потратьте их не на пиво/развитие бизнеса/etc, а на прожорливых lawyers." prosecutions to put an end to these types of attacks. Any thoughts/suggestions?

...

This is really a dark day for those of us fighting spam. I looks like the spammers have won a BIG battle. The only question now is who will be the causality in this war?

Победу в затяжной войне приносит что? Тыловое обеспечение и резервы. На блицкриг данное противостояние не похоже аж ни разу. Вот пусть заглянут в свой карман, и в карман ... торговцев виагрой, например. На самом деле - "сами виноваты" - прогресс и демпинг на рынке сделали DDoS вполне недорогим занятием. "Я конечно, не специалист" (c) unknown, но думаю, что потратив всего ~$XXX и имея вагон этих самых "open proxies" можно устроить жизнь из серии "мало не покажется". А активных антиспамеров - вообще немного очень - поэтому силы явно неравны. Ну и потерпевшей стороной станут те, кто и так ей являются. Ну и "подводя итоги" можно сказать, что пока антиспамеры будут жить на энтузиазме, а не под крышей ISP с мультигигабитными линками - то лтбо их так и далее будут торбить, либо концептуально что-то нужно будет менять - например сделать распределённую инфраструктуру без "single point of failure". Только таким пользоваться будет погеморойнее, чем через какой-нить edonkey фильму качать. -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

7665

Age (days ago)

7672

Last active (days ago)

List overview

Download

26 comments

11 participants

participants (11)

Dmitry Alyabyev
Dmitry Kohmanyuk Дмитрий Кохманюк
Michael Petuschak
Oleg Cherevko
Oleg Panashchenko
Olexandr Ostapenko
Paul Arakelyan
Sergey Babitch
Sergey Galat
Valentin Nechayev
Vladimir Litovka