E 'Morgen, aber sehr spät. Du stehst auf und Sie wissen, dass heute ein besonderer Tag ist. Und "Samstag und dann einen schönen Tag der Entspannung vor und Cazzeggio.
Sie gehen auf die Kaffeemaschine, sondern ein Blick auf Ihr Handy fallen. Schalten oder schalten Sie ihn ein. Das ist das Dilemma. Natürlich habe ich schalten Sie ihn ein, es ist Samstag und alles ist perfekt.
Beep, Beep. ... Beep, Beep .... 7 unbeantwortete Anrufe. CEO von MICS, verbindet 1, Link 2, Link 3, Client 1, 2 Client-, Client-3.
Ok, der Kaffee ist wieder am Samstag, um sich zu entspannen und cazzeggiando verzögert. Ich werde ein deja-vu haben. Etwas Schlimmes ist passiert in Micso.
Zeit zu verbinden und zu seiner Heiligkeit nennen, der CEO der Firma wo ich arbeite. Von Hintergrundgeräuschen sofort gespürt, daß in der Server-Farm liegt und dann die Situation ist tragisch, es ist noch schlechter!
Im Wesentlichen handelt es scheint, dass die Firewall, die verwaltet und schützt die Nosta Netzwerk blockiert ist.
Nun, es beginnt. Ziel des Spiels: zu verstehen, wo ist das Problem und starten Sie das Netzwerk. Die Gegner sind: Zeit, die Komplexität des Netzwerks und der Tatsache, dass derzeit noch fern und daher nicht in der Lage, den Zugang zu jedem Computer zu verschaffen, Firewall komplett.
Mal sehen, wie es weitergehen soll.
Schritt 1 - Herunterfahren und Neustart
Wie jeder gute Computer, ich kenne die Grundregel jedes Spiel. Wenn ein Computer nicht arbeiten Sie wahrscheinlich abgestürzt einen Dienst oder den Kernel. Es stellt sich aus-und wieder Hoffnung, dass das Problem auf magische Weise selbst zu lösen.
Ich bin daher zu dem Neustart von unserem CEO der Firewall und schauen Sie sich die Daumen.
Die Antwort ist, dass die Maschine abgebaut wird, wurde aber auf das Laden von Firewall-Regeln scheint, als ob es in der Regel zu einer Zeit mit extremen Langsamkeit geladen wird.
Von dort, wo das Auto abstürzte, es bald zu Beginn wird klar, dass das Problem nicht Software, sondern ist auf das Netzwerk. Zweifellos, irgendwo, sie sind immer ein abnorme Menge von Daten, so gewaltig, dass die Firewall nicht kann es zu verwalten und dann zusammenbrechen.
Der nächste Schritt ist offensichtlich.
Schritt 2 - Entfernen Sie alle
Ich trennen Sie alle Kabel von der Netzwerk-Firewall, die sofort ins Atem. OK. Sie beginnen zu hängen, das Netzwerk-Kabel. Sehr langsam 
Bevor die Kraft unserer PKW zur Arbeit. Alles ok. Die Firewall funktioniert noch immer. Dann das Kabel an das Internet. Doch alles in Ordnung. Jetzt kann ich endlich fallen in der Firewall.
Schließlich das Kabel an den Server-Farm. Buummmm, crashhh, whishhhhhh. Nicht rifunziona nichts. Ok, war das Problem, wie in der Server-Farm erwartet.
Zweifellos gibt es einige Computer, Casino tut innen nach außen. Das war leicht zu erraten, warum der Angriff von außen, wenn es gäbe genug Bandbreite, um zu sättigen und töten die Firewall, und dann, weil die Firewall hätte stürzte sofort nur hängte das Kabel mit dem Internet kam. Aber es abgestürzt ist jetzt gerade.
Angesichts der Unmöglichkeit der Arbeit an der Firewall mit dem Netzwerkkabel mit der Serverfarm verbunden ist, zu verstehen, wer und was langsamer ist alles nieder, müssen Sie Schritt für Schritt zu gehen.
Schritt 3 - Geben Sie die Service-Angriffen
Erstens wollen wir sehen, ob es einen bestimmten Dienst Anwendung bei akuten.
Iptraf aktiv an der Firewall, starte ich das Lauschen auf die Server-Farm für zehn Sekunden und darauf lege ich das Netzwerkkabel unmittelbar nach die Kontrolle über die Firewall wieder zu trennen.
Das Ergebnis ist offensichtlich.
Jemand macht das böse auf Port 53, dass eine Flut von Anfragen an DNS tut. Let's see who.
Schritt 4 - Ermittlung der Angreifer
Dadurch, dass nun sehr einfach. Wir betreiben ein tcpdump auf der Firewall auf das Netzwerk-Schnittstelle des Server-Farm, dass alle eingehenden Pakete zu und von Port-Scans und 53 schreiben wir alles auf eine Datei zu hören.
tcpdump -i eth1 -w tcpdump_attacco.dump port 53
Attack das Netzwerkkabel an der Server-Farm für zehn Sekunden und entfernen Sie die Kontrolle über die Firewall wieder zu erlangen. Laden Sie die Datei auf Ihrem PC zu Hause und bekam analizziamolo mit Wireshark.
Oh, wir haben endlich eine IP und dann den Täter.
Sie hätten gehört, per Telefon, schreiend an den Administrator: "Trennen Sie das Netzwerkkabel von der Maschine, schalten Sie ihn aus, brennen !!!!!!".
Nun, da das gesamte Netzwerk ist wieder zu 100% aktiv, um zu sehen, wenn unsere Samstag oder wir beginnen, nur ein Zehntel der Arbeit, die Sie verstehen müssen, wenn das Auto oder uns ist ein Gehäuse für einen Kunden zu entspannen.
Wenn das Auto ist unser, sind schmerzhaft, wie wir sie verstehen müssen, warum das Auto tut dies alles durcheinander, und in Anbetracht, dass die Erklärung ein, dass jemand, der in einige Einbrüche in einigen Schwachstellen des Autos ist es gelungen, die Kontrolle und jetzt ist hat es sich in ein "Monster" verwandelt, müssen wir verstehen, wie es dazu kam, was anderen Schaden angerichtet wurde und wie das Problem zu beheben. Dann herauszufinden, wer für das Verlassen unser Auto mit einer offenen Sicherheitslücke verantwortlich. Ein hohler Wochenend -
Zum Glück ist das Auto nicht von uns, sondern von unseren Kunden. Sie ab und bleibt dann ausgeschaltet. Jemand wird ein Anruf am Montag erhalten, nicht so glücklich von mir 
Told so scheint es, als ob die Sache hat sich in zehn Minuten gelöst worden. Eigentlich ab dem ersten Moment der Panik-Modus, das zweite Mal, wie "Ich kann mich nicht erinnern diese Netzwerkschnittstelle, wo es geht" und das dritte Mal, wenn du gehst auf "ignore-mode = on" war es noch fast Stunde, um mit ihnen zu tun.
Ach, das ist das Wichtigste, dass nun die "echte" Samstag starten kann.
Folgen Sie mir auch auf ...
      |
    |
Translator
 |  |  |  |  |  |
 |  |  |  |  |  |
Neue Kommentare