有名小站遭受攻擊事件…

剛剛在 IRC 上看到, 有名小站說受到攻擊,
文章在此
[公告] 無名小站遭受網路攻擊
個人認為無名小站又在唬爛了,不要老是學政治人物嘛,不僅恐嚇別人還有將罪過一手推乾淨的行為….
無名小站的無大攻擊別人後就低調一點吧,還裝作被人攻擊,裝可憐好掩飾自己維護大型 BSP (Blog Seriver Provider) 經驗不足的窘境嘛.
也就是目前大家看到的無名現況,四不一沒有 : 機器修不好,網頁出不來,檔案傳不上,文章不能寫,沒有人負責
如果是這種心態在做事,早晚從 BSP 變成 BSP (Bullshit Service Provider).

誠心的建議,以無名這樣的心態,要期待有”可以用”的服務,那是不可能的,早早搬家到 pixnet or 樂多
才是正確的選擇.

我來提供一些資訊告訴大家為什麼我會認為無名又在亂來了.
從無名的網頁看到了一些資訊, 大概是講 Syn Flood attack ……

20:19:11.351366 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3419937 win 3
2580
20:19:11.351666 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3422833 win 3
2580
20:19:11.352397 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3425729 win 3
2580
20:19:11.353280 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3428625 win 3
2580

因為沒有完整的 Data Flow ,所以看不出來是不是攻擊,但是從有限的訊息至少可以知道
因為 TCP Window scaling 的關係,有時候也有可能在收到資料結束後,密集的回應 ACK.
而且可以確定,這些 Information 並不是 SYN Flood Attack 因為只有 ACK 而沒有 SYN Flag(通常 TCP 常用有四個 Flag, SYN, ACK, FIN, RST . 詳情請參考 TCP/IP Protocol 的書).

在看過無名給的攻擊列表以外,我找了幾個疑似攻擊的 IP 做測試.
例如:
gatet.p2rc.edu.tw 這一台是屬於台北區域網路中心的機器, 看 Domain Name , 應該是 NAT 之類的吧, 使用 nmap 去檢查一下這一台機器. 這根本就是一台 Unix 機器,上面跑 Proxy 嘛 ……………..

# nmap -sT -O gate.tp2rc.edu.tw

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-11-10 00:45 CST
Interesting ports on gate.tp2rc.edu.tw (163.28.32.100):
(The 1661 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp filtered rpcbind
113/tcp open auth
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1025/tcp filtered NFS-or-IIS
3128/tcp open squid-http
6667/tcp filtered irc
8081/tcp open blackice-icecap
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.00%P=i686-pc-linux-gnu%D=11/10%Tm=45535B26%O=22%C=1)
TSeq(Class=RI%gcd=1%SI=19066E%IPID=RPI%TS=2HZ)
TSeq(Class=RI%gcd=1%SI=984F4%IPID=RPI%TS=2HZ)
TSeq(Class=RI%gcd=1%SI=102587%IPID=RPI%TS=2HZ)
T1(Resp=Y%DF=N%W=FFFF%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=N)
T3(Resp=Y%DF=N%W=FFFF%ACK=O%Flags=A%Ops=NNT)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=15C%RID=F%RIPCK=F%UCK=0%ULEN=134%DAT=E)

Uptime 19.322 days (since Sat Oct 21 17:01:45 2006)

Nmap finished: 1 IP address (1 host up) scanned in 25.369 seconds

再找一台 192.192.190.5 proxxy.tajen.edu.tw (proxxy 應該是 proxy 之誤) 及 192.192.250.35
這二台都在同一個 Domain 分屬大仁科技大學開南大學
用 nmap 檢查的結果都一樣,我只貼一個了.

# nmap -sT -O -P0 192.192.250.35

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-11-09 23:02 CST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1672 scanned ports on 192.192.250.35 are: filtered
Too many fingerprints match this host to give specific OS details

Nmap finished: 1 IP address (1 host up) scanned in 384.288 seconds

我猜可能是 Blue Coat’s(以前叫 Cacheflow) 用 squid 改寫的商用 http proxy server)

看到這些,看倌覺得有沒有奇怪的地方. 對了,為什麼無名講 SYN Flood Attack ,結果都是 http proxy/gateway 之類的 IP 呢? 我很好奇一件事情,是不是網頁同時建立的連線過多呢?
我就檢查一下無名的網站, 一次連線會建立多少個 SYN Packet 過去.
這個答案是: 15 個., 其實這個數量並不會很多, 大概比 PIXNET 多一點, 是 Yahoo.TW 的一半吧.

測試條件,使用 IE 6.0 連線,在連線前清空 Cache 和 Cookie.

以下就是有圖有真相篇.
Yahoo.TW
Yahoo.TW的 SYN Packet 數量是 35 個

從連線到所有資料出來是 5.7 秒左右,非常不錯的速度 (不快就遜了 XD)

PIXNET
PIXNET 的 SYN Packets 是 12 .

從連線到資料完全吐出來的時間是 9 秒鐘,差強人意.

無名小站
最受消費者信賴的無名小站呢? 總共發出了 15 個 SYN Packets .

不過第一次連線時間長達 62 秒鐘, 對, 你沒有看錯, 正是 62 秒鐘

為求公正起見,我還是再重測一次,這一次就是合理的 10 秒鐘

從以上的數據看來,我合理的懷疑(某些人常用的詞).
無名根本就是將正常的連線誤認為(或者是刻意認為,誤導消費者)網路攻擊事件.
原因有
1. NAT/PROXY 通常都是服務 100 到數千台不等的機器,同一時間的確可能有非常大量的 SYN Packets request . 如果以一千台同時存取,SYN Packets 就是 15*1000 = 15000,如果沒有設定好檢查機制,的確有可能被誤認為攻擊.

2. SYN Flood 要攻擊的行為根本不可能讓你查到 IP. 正港的 SYN Flood Attack 會在短時間內產生大量 Source IP 不相同,而 Destination IP 一樣的 TCP Packet. 這種 Packet 連 IP Header 都是假造的,無名小站連機器都修不好,我不太相信無名小站有能查得出來攻擊是從那邊來的. 而且 SYN Flood Attack 要配合 ISP 才比較容易查出源頭.

3. 那些 Packet 分明就是 ACK Packet. 多數的狀況下,Server 都會接受,如果沒有先建之連線,收到 ACK Packet 就會送 RST 出去, 如果這個都查不出來,怎麼好意思說是 SYN Flood Attack, 我相信無名的 RD 根本搞不清楚吧 ….

最後建議無名可以去非洲拔拔獅子的鬃毛,這樣機器才撐得住 PIXNET友站 30 倍的流量哦 ~~~~~~

On this day..

Comments

comments

Related Posts
Leave a comment ?

15 Comments.

  1. Using WordPress WordPress 2.0.5

    […] 相關連結: # [公告] 無名小站遭受網路攻擊 # 都是公測惹的禍? # 續:都是公測惹的禍? # 有名小站遭受攻擊事件… ← 特別推薦!!!!! […]

  2. Using WordPress WordPress 2.0.5

    […] 我媽常叫我不要一直罵人,不要造口業,最近不知道怎麼搞的欠罵的人比台北馬路上的坑洞還多,先來個阿扁硬凹不下台,再有民進黨搞個不知羞恥的挺扁中執會,真xxx的昨天晚上洲際盃中華隊現在連義大利都搞不定了!?一早到公司習慣性點開Bloglines看一下新文章,讓我看到了寫文的新題材!噢~也不算新題材啦~對象還是它-無恥小站,大概事前天搞個尖峰時間vip上線制度惹腦網民,竟然公告“被”網路攻擊耶,但好像又被戳破了,看完這篇文章有兩個想法,第一個想法無恥小站真不虧被我稱為無恥,當之無愧阿~第二個想法是真糟糕,我把tcp概論全還給了茂茂老師了…..慘…. […]

  3. Using WordPress WordPress 2.0.4

    […] update: 此起事件讓專業的來解釋 >> richliu’s  有名小站遭受攻擊事件簡單的來說,就是1. 明明抓到的機器 ip 大都是 proxy,有名大站你是在警告誰?2. 真的是 syn flood, 你抓的到兇手嗎?3. 貼 ack packet ,你說 syn flood 誰相信 -_-….(鄉民看不懂的話,可以 google 一下 syn flood 原理,再看不懂我也沒辦法,因為這次的小故事筆者還沒想出來。XD) […]

  4. Using Mozilla Firefox Mozilla Firefox 1. on Windows Windows XP

    問一下,那些網路封包的貼圖,應該是用Wireshark抓的吧?

  5. Using Mozilla SeaMonkey Mozilla SeaMonkey 1. on Windows Windows XP

    ethereal 吧
    免費的很好用哦…

  6. Using Mozilla Firefox Mozilla Firefox 2.0 on FreeBSD FreeBSD

    ethreal 改名叫 wireshark 了…

  7. Using Mozilla Firefox Mozilla Firefox 2.0 on Windows Windows XP

    如果無名站方對 PIXNET 那種攻擊行為都只要宣稱 “我是 PIXNET 的會員” 就沒事的話, 那麼, 只要攻擊者是無名的會員, 我不曉得無名有什麼立場去採取法律行動…

    無名那種 “都是別人的錯” 的嘴臉真令人噁爛…

  8. Using Mozilla Firefox Mozilla Firefox 2.0 on Windows Windows XP

    無名有三寶: 當機、Lag、修不好

  9. Using Mozilla SeaMonkey Mozilla SeaMonkey 1. on Windows Windows XP

    果然太久沒注意這東西了…
    剛剛才知道原來他們分家了 @@

  10. Using WordPress WordPress 2.0.4

    […] 11/9 bbsFAQ 公告遭受網路攻擊,網路斷斷續續的,並指控手法 sys flood 攻擊,然而站方貼出來的相關 log 並不像是遭受 sys flood 攻擊的特徵。 […]

  11. Using Internet Explorer Internet Explorer 6.0 on Windows Windows XP

    無名既然認為那是攻擊行為,為何不有種一點 deny 掉那些 proxy server 的 ip

  12. Using Unbranded Firefox Unbranded Firefox 2.0 on Linux Linux

    因為這一切都是掩飾無大攻擊別人的那件事,
    刻意轉移焦點, 再來就是可以對使用者說,
    “你看, 我被攻擊了, 所以提供爛服務是應該的, 連不上也是應該的 blah blah ”
    或是
    “因為被 SYN Flood Attack”, 所以千萬級的 Raid 無法上線~~~~

  13. Using WordPress WordPress 2.0.5

    要用無名小站,就得學會等待…

    無名小站從10月初,就開始出現連不上或是無法上傳/更新網頁/照片的現象,無名站方聲稱這是一般會員維修與空間擴充計劃之一,公布了一個時間表:
      10月底新的大硬碟裝好
      11…

  14. 要用無名小站,就得學會等待 | 終極邊疆 BLOG - pingback on 2014/09/13 at 6:44 下午

Reply to richliu ¬
Cancel reply


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackbacks and Pingbacks: