Linux, 工作, 生活, 家人

Network, 亂扯淡

有名小站遭受攻擊事件…

剛剛在 IRC 上看到, 有名小站說受到攻擊,
文章在此
[公告] 無名小站遭受網路攻擊
個人認為無名小站又在唬爛了,不要老是學政治人物嘛,不僅恐嚇別人還有將罪過一手推乾淨的行為….
無名小站的無大攻擊別人後就低調一點吧,還裝作被人攻擊,裝可憐好掩飾自己維護大型 BSP (Blog Seriver Provider) 經驗不足的窘境嘛.
也就是目前大家看到的無名現況,四不一沒有 : 機器修不好,網頁出不來,檔案傳不上,文章不能寫,沒有人負責
如果是這種心態在做事,早晚從 BSP 變成 BSP (Bullshit Service Provider).

誠心的建議,以無名這樣的心態,要期待有”可以用”的服務,那是不可能的,早早搬家到 pixnet or 樂多
才是正確的選擇.

我來提供一些資訊告訴大家為什麼我會認為無名又在亂來了.
從無名的網頁看到了一些資訊, 大概是講 Syn Flood attack ……

20:19:11.351366 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3419937 win 3
2580
20:19:11.351666 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3422833 win 3
2580
20:19:11.352397 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3425729 win 3
2580
20:19:11.353280 IP 203.68.164.120.54687 > 203.133.32.220.80: . ack 3428625 win 3
2580

因為沒有完整的 Data Flow ,所以看不出來是不是攻擊,但是從有限的訊息至少可以知道
因為 TCP Window scaling 的關係,有時候也有可能在收到資料結束後,密集的回應 ACK.
而且可以確定,這些 Information 並不是 SYN Flood Attack 因為只有 ACK 而沒有 SYN Flag(通常 TCP 常用有四個 Flag, SYN, ACK, FIN, RST . 詳情請參考 TCP/IP Protocol 的書).

在看過無名給的攻擊列表以外,我找了幾個疑似攻擊的 IP 做測試.
例如:
gatet.p2rc.edu.tw 這一台是屬於台北區域網路中心的機器, 看 Domain Name , 應該是 NAT 之類的吧, 使用 nmap 去檢查一下這一台機器. 這根本就是一台 Unix 機器,上面跑 Proxy 嘛 ……………..

# nmap -sT -O gate.tp2rc.edu.tw

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-11-10 00:45 CST
Interesting ports on gate.tp2rc.edu.tw (163.28.32.100):
(The 1661 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp filtered rpcbind
113/tcp open auth
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1025/tcp filtered NFS-or-IIS
3128/tcp open squid-http
6667/tcp filtered irc
8081/tcp open blackice-icecap
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.00%P=i686-pc-linux-gnu%D=11/10%Tm=45535B26%O=22%C=1)
TSeq(Class=RI%gcd=1%SI=19066E%IPID=RPI%TS=2HZ)
TSeq(Class=RI%gcd=1%SI=984F4%IPID=RPI%TS=2HZ)
TSeq(Class=RI%gcd=1%SI=102587%IPID=RPI%TS=2HZ)
T1(Resp=Y%DF=N%W=FFFF%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=N)
T3(Resp=Y%DF=N%W=FFFF%ACK=O%Flags=A%Ops=NNT)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=15C%RID=F%RIPCK=F%UCK=0%ULEN=134%DAT=E)

Uptime 19.322 days (since Sat Oct 21 17:01:45 2006)

Nmap finished: 1 IP address (1 host up) scanned in 25.369 seconds

再找一台 192.192.190.5 proxxy.tajen.edu.tw (proxxy 應該是 proxy 之誤) 及 192.192.250.35
這二台都在同一個 Domain 分屬大仁科技大學開南大學
用 nmap 檢查的結果都一樣,我只貼一個了.

# nmap -sT -O -P0 192.192.250.35

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-11-09 23:02 CST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1672 scanned ports on 192.192.250.35 are: filtered
Too many fingerprints match this host to give specific OS details

Nmap finished: 1 IP address (1 host up) scanned in 384.288 seconds

我猜可能是 Blue Coat’s(以前叫 Cacheflow) 用 squid 改寫的商用 http proxy server)

看到這些,看倌覺得有沒有奇怪的地方. 對了,為什麼無名講 SYN Flood Attack ,結果都是 http proxy/gateway 之類的 IP 呢? 我很好奇一件事情,是不是網頁同時建立的連線過多呢?
我就檢查一下無名的網站, 一次連線會建立多少個 SYN Packet 過去.
這個答案是: 15 個., 其實這個數量並不會很多, 大概比 PIXNET 多一點, 是 Yahoo.TW 的一半吧.

測試條件,使用 IE 6.0 連線,在連線前清空 Cache 和 Cookie.

以下就是有圖有真相篇.
Yahoo.TW
Yahoo.TW的 SYN Packet 數量是 35 個

從連線到所有資料出來是 5.7 秒左右,非常不錯的速度 (不快就遜了 XD)

PIXNET
PIXNET 的 SYN Packets 是 12 .

從連線到資料完全吐出來的時間是 9 秒鐘,差強人意.

無名小站
最受消費者信賴的無名小站呢? 總共發出了 15 個 SYN Packets .

不過第一次連線時間長達 62 秒鐘, 對, 你沒有看錯, 正是 62 秒鐘

為求公正起見,我還是再重測一次,這一次就是合理的 10 秒鐘

從以上的數據看來,我合理的懷疑(某些人常用的詞).
無名根本就是將正常的連線誤認為(或者是刻意認為,誤導消費者)網路攻擊事件.
原因有
1. NAT/PROXY 通常都是服務 100 到數千台不等的機器,同一時間的確可能有非常大量的 SYN Packets request . 如果以一千台同時存取,SYN Packets 就是 15*1000 = 15000,如果沒有設定好檢查機制,的確有可能被誤認為攻擊.

2. SYN Flood 要攻擊的行為根本不可能讓你查到 IP. 正港的 SYN Flood Attack 會在短時間內產生大量 Source IP 不相同,而 Destination IP 一樣的 TCP Packet. 這種 Packet 連 IP Header 都是假造的,無名小站連機器都修不好,我不太相信無名小站有能查得出來攻擊是從那邊來的. 而且 SYN Flood Attack 要配合 ISP 才比較容易查出源頭.

3. 那些 Packet 分明就是 ACK Packet. 多數的狀況下,Server 都會接受,如果沒有先建之連線,收到 ACK Packet 就會送 RST 出去, 如果這個都查不出來,怎麼好意思說是 SYN Flood Attack, 我相信無名的 RD 根本搞不清楚吧 ….

最後建議無名可以去非洲拔拔獅子的鬃毛,這樣機器才撐得住 PIXNET友站 30 倍的流量哦 ~~~~~~

8 留言

  1. 問一下,那些網路封包的貼圖,應該是用Wireshark抓的吧?

  2. maniac

    ethereal 吧
    免費的很好用哦…

  3. ethreal 改名叫 wireshark 了…

  4. Humm

    如果無名站方對 PIXNET 那種攻擊行為都只要宣稱 “我是 PIXNET 的會員” 就沒事的話, 那麼, 只要攻擊者是無名的會員, 我不曉得無名有什麼立場去採取法律行動…

    無名那種 “都是別人的錯” 的嘴臉真令人噁爛…

  5. Humm

    無名有三寶: 當機、Lag、修不好

  6. maniac

    果然太久沒注意這東西了…
    剛剛才知道原來他們分家了 @@

  7. 無名既然認為那是攻擊行為,為何不有種一點 deny 掉那些 proxy server 的 ip

  8. 文章作者的留言

    richliu

    因為這一切都是掩飾無大攻擊別人的那件事,
    刻意轉移焦點, 再來就是可以對使用者說,
    “你看, 我被攻擊了, 所以提供爛服務是應該的, 連不上也是應該的 blah blah ”
    或是
    “因為被 SYN Flood Attack”, 所以千萬級的 Raid 無法上線~~~~

發佈留言