This page has been translated from Italian
Février
18

Votre réseau est-il attaqué? Toujours le samedi matin.

| 5 commenti | TrackBack | | | 5 commentaires | TrackBack |
una stelladue stelletre stellequattro stellecinque stelle (6 votes, moyenne: 5.00)
Loading ... Chargement ...

un_tranquillo_weekend_di_paura.jpg Matin, E ', mais très en retard. Tu te lèves et tu sais qu'aujourd'hui est un jour spécial. Et 'le samedi et puis passez une belle journée de détente avant et Cazzeggio.

Vous vous promenez à la machine à café, mais un coup d'oeil va tomber sur votre mobile. Activer ou allumez-le. Tel est le dilemme. Bien sûr que je l'allumer, c'est samedi et tout est parfait.

Bip, bip. ... Bip, bip .... 7 appels sans réponse. PDG de la MICS, relie 1, lien 2, lien 3, client 1, client 2, le client 3.

Ok, le café est de retour le samedi pour se détendre et cazzeggiando est retardée. Je vais avoir un déjà-vu. Un événement grave s'est produit dans Micso.

Temps de se connecter et d'appeler sa sainteté, le PDG de l'entreprise où je travaille. Du bruit de fond tout de suite senti que se trouve la batterie de serveurs, puis la situation est tragique, c'est pire!

En substance, il semble que le pare-feu qui gère et protège le réseau nosta est bloqué.

Eh bien, il démarre. But du jeu: pour comprendre où est le problème et relancer le réseau. Les ennemis sont le temps, la complexité du réseau et le fait qu'actuellement il est distant et donc dans l'impossibilité d'accéder à une machine, un pare-feu complet.

Voyons comment procéder.

Étape 1 - Arrêt et redémarrage

Comme tout bon ordinateur, je connais la règle de base de n'importe quel match. Si un ordinateur ne fonctionne pas vous n'avez probablement écrasé quelque service ou le noyau. Il s'éteint et le nouveau, en espérant que le problème va se résoudre comme par magie.

Je donne donc le redémarrage de notre chef de la direction au pare-feu et de regarder vos doigts croisés.

La réponse est que la machine est en panne, mais j'ai reçu au chargement des règles de pare-feu semble que si c'est le chargement d'un état à un moment avec une lenteur extrême.

D'où l'accident de voiture pour le démarrer devient rapidement évident que le problème n'est pas un logiciel mais est sur le réseau. Sans aucun doute, quelque part, qu'ils reçoivent une quantité anormale de données, si énorme que le pare-feu peut pas vous rendre à gérer, puis de l'effondrement.

La prochaine étape est évidente.

Étape 2 - Débranchez tous

Je débranche tous les câbles réseau à partir du pare-feu qui attirent immédiatement votre souffle. D'accord. Ils commencent à accrocher les câbles réseau. Très lentement smile.gif

Devant la puissance de nos voitures personnelles au travail. Tout ok. Le pare-feu fonctionne toujours. Ensuite, le câble à l'Internet. Still all ok. Maintenant, je peux finir par tomber dans le pare-feu.

Enfin, le câble à la batterie de serveurs. Buummmm, crashhh, whishhhhhh. Rifunziona pas rien. Ok, le problème a été, comme prévu dans la ferme de serveurs.

Certes, il ya une machine qui fait du casino à l'envers. Cela était facile de deviner pourquoi l'attaque venait de l'extérieur s'il y aurait assez de bande passante de saturer et de tuer le pare-feu, et ensuite parce que le pare-feu se serait écrasé juste immédiatement raccroché le câble à l'Internet. Mais il s'est écrasé aujourd'hui.

Compte tenu de l'impossibilité de travailler sur le pare-feu avec le câble réseau connecté à la batterie de serveurs, de comprendre qui et ce qui ralentit tout, il faut aller étape par étape.

Étape 3 - Identifier les fonctions, à l'attaque

Premièrement, nous allons voir si il ya une utilisation des services notamment dans les aigus.

Iptraf actif sur le pare-feu, je me mets à l'écoute sur la batterie de serveurs pendant dix secondes et je brancher le câble réseau débrancher immédiatement après avoir procédé à reprendre le contrôle du pare-feu.

Le résultat est évident.

attacco_micso_2008_02_16_iptraf.png

Quelqu'un fait le méchant sur le port 53 qui fait un afflux de demandes sur le DNS. Let's see who.

Etape 4 - Identifier les attaquants

Doing qui est maintenant très simple. Nous courons un tcpdump sur le pare-feu pour écouter sur l'interface réseau du serveur qui analyse tous les paquets entrants et du port 53 et nous écrivons tout sur un fichier.

tcpdump -i eth1 -w tcpdump_attacco.dump port 53

Attaque du câble réseau à la ferme de serveurs pendant dix secondes et enlever à reprendre le contrôle du pare-feu. Téléchargez le fichier sur votre PC à la maison et a obtenu analizziamolo avec Wireshark.

attacco_micso_2008_02_16_wireshark.png

Oh, nous avons enfin une adresse IP puis le coupable.

Vous auriez dû entendre, par téléphone, en criant à l'administrateur: "Débrancher le câble réseau de cette machine, éteignez-le, de graver !!!!!!".

Maintenant que l'ensemble du réseau est de retour à 100% actif, pour voir si notre samedi ou l'on commence à se détendre seul un dixième du travail que vous devez comprendre que si la voiture est à nous ou est un logement pour un client.

Si la voiture est le nôtre, sont douloureuses, comme nous devons comprendre pourquoi la voiture fait tout ce gâchis, et étant donné que l'explication est un, quelqu'un qui a réussi à faire quelques incursions dans une certaine vulnérabilité de la voiture, a pris le contrôle et maintenant a transformé en un "monstre", nous devons comprendre comment il est arrivé, ce que d'autres dommages a été fait et comment résoudre le problème. Ensuite, savoir qui est responsable de laisser notre voiture avec une vulnérabilité ouverte. Une piste de week-end creuse

Heureusement, la voiture n'est pas la nôtre, mais de notre client. Them hors tension, puis reste éteint. Quelqu'un va recevoir un appel téléphonique le lundi pas si heureux par moi-même grin.gif

L'a dit, il semble que la chose a été réglée en dix minutes. En fait, dès le premier moment de panique-mode, la seconde fois comme "Je ne me rappelle pas cette interface réseau où il va» et la troisième fois, quand vous allez à "ignore-mode = on" il a fallu près en permanence pour traiter avec eux.

Eh bien, l'important est que maintenant le «réel» de début mai, samedi.

Cet article a été lu 1189 temps

5 réponses à "Votre réseau est-il attaqué? Toujours le samedi matin. "

Laissez un commentaire

/ Me va

Formation

Racing