Logboek van Kapitein Emiliano Bruni

'S morgens E', maar erg laat. Je staat op en je weet dat het vandaag een bijzondere dag. En 'Zaterdag en vervolgens een mooie dag verder van ontspanning voor en Cazzeggio.

U loopt naar de koffieautomaat, maar een blik zal vallen op je mobiel. Zet op of zet hem aan. Dit is het dilemma. Natuurlijk heb ik zet hem op, het is zaterdag en alles is perfect.

Beep, Beep. ... Beep, Beep .... 7 onbeantwoorde oproepen. CEO van MICS, verbindt 1, link 2, link 3, cliënt 1, cliënt 2, cliënt 3.

Ok, de koffie is terug op zaterdag om te ontspannen en cazzeggiando wordt vertraagd. Ik ga een deja-vu. Iets ergs is gebeurd in Micso.

Tijd om te verbinden en om zijn heiligheid bellen, de CEO van het bedrijf waar ik werk. Van achtergrondgeluid meteen voelde dat ligt in de server-farm en dan de situatie is tragisch, het is erger!

In wezen lijkt het erop dat de firewall die beheert en beschermt het Nosta netwerk is geblokkeerd.

Nou, begint het. Doel van het spel: om te begrijpen waar het probleem is en start het netwerk. De vijanden zijn: tijd, netwerk complexiteit en het feit dat er momenteel afgelegen en dus geen toegang tot een machine te krijgen, firewall compleet.

Laten we eens kijken hoe het verder moet.

Stap 1 - Afsluiten en opnieuw opstarten

Zoals elke goede computer, ik weet dat de basisregel van elk spel. Als een computer niet je werkt waarschijnlijk gecrasht enkele dienst of de kernel. Het blijkt uit en weer, in de hoop dat het probleem magische zelf op te lossen.

Daarom heb ik het herstarten van onze CEO te geven aan de firewall en kijk naar je vingers gekruist.

Het antwoord is dat de machine wordt afgebroken, maar kreeg tot het laden van firewall regels lijkt alsof het een regel is het laden in een tijd met extreme traagheid.

Van waar de auto crashte om het binnenkort van start gaan wordt duidelijk dat het probleem niet software, maar is op het netwerk. Ongetwijfeld, ergens, ze krijgen van een abnormale hoeveelheid gegevens, zo enorm dat de firewall niet kan maken voor het beheren en vervolgens instorten.

De volgende stap is duidelijk.

Stap 2 - Koppel alle

Ik ontkoppel alle netwerk kabels van de firewall die onmiddellijk adem. Oke. Ze beginnen om op te hangen van het netwerk kabels. Heel langzaam

Voordat de kracht van onze eigen auto's te werken. Alles ok. De firewall werkt nog steeds. Dan is de kabel aan op het internet. Nog steeds alles ok. Nu kan ik eindelijk daling in de firewall.

Tenslotte wordt de kabel aan op de server farm. Buummmm, crashhh, whishhhhhh. Niet rifunziona niets. Ok, was het probleem, zoals voorzien in de server-farm.

Ongetwijfeld is er enige machine die doet het casino binnen en van buiten. Dit was makkelijk te raden waarom de aanval kwam van buiten als er zou voldoende bandbreedte om verzadigen en doden de firewall, en dan omdat de firewall zou zijn neergestort onmiddellijk net opgehangen de kabel aan op het internet. Maar het neergestort nu.

Gezien de onmogelijkheid van het werken op de firewall met de netwerkkabel aangesloten op de server boerderij, om te begrijpen wie en wat is alles te vertragen, moet je stap voor stap gaan.

Stap 3 - Bepaal de dienst onder vuur

Laten we eerst eens kijken of er een bepaalde dienst gebruik bij acute.

Iptraf actief op de firewall, begin ik te luisteren naar de server-farm gedurende tien seconden, en ik sluit de netwerkkabel onmiddellijk verbreken na het maken van de controle van de firewall te herwinnen.

Het resultaat is duidelijk.

Iemand doet de stoute op poort 53, dat doet een vloed van verzoeken op DNS. Laten we eens zien wie.

Stap 4 - Identificeer de aanvallers

Doen dat nu heel eenvoudig is. We lopen een tcpdump op de firewall te luisteren op het netwerk interface van de server farm dat alle binnenkomende pakketten van en naar poort 53 scans en schrijven we alles op een bestand.

tcpdump -i eth1 -w tcpdump_attacco.dump port 53

Aanval de netwerkkabel aan op de server boerderij voor tien seconden en verwijderen om de besturing van de firewall. Download het bestand naar uw pc thuis en ben analizziamolo met Wireshark.

Oh, we hebben eindelijk een IP en dan de schuldige.

U moet gehoord hebben, per telefoon, schreeuwen aan de beheerder: "Haal de netwerkkabel uit die machine, schakel het uit, branden !!!!!!".

Nu het gehele netwerk weer naar 100% actief, om te zien of onze zaterdag of we beginnen met slechts een tiende van het werk dat je moet begrijpen als de auto is aan ons of is een behuizing voor een cliënt te ontspannen.

Als de auto is van ons, zijn pijnlijk, want we moeten begrijpen waarom de auto doet dit allemaal rotzooi, en gezien het feit dat het een verklaring is, iemand die erin is geslaagd in het maken van een aantal doorgedrongen in bepaalde kwetsbaarheid van de auto, nam de controle en nu heeft getransformeerd in een "monster", moeten we begrijpen hoe het kwam, welke andere schade was gedaan en hoe het probleem op te lossen. Dan uitzoeken wie verantwoordelijk is voor het verlaten van onze auto met een kwetsbaarheid open. Een holle weekend spoor

Gelukkig is de auto is niet de onze, maar van onze klant. Ze af en dan blijft uit. Iemand krijgt een telefoontje op maandag niet zo gelukkig met mezelf

Told zodat het lijkt alsof het ding is opgelost in tien minuten. Eigenlijk vanaf het eerste moment van paniek-modus, de tweede keer als "Ik kan me niet herinneren dit netwerk interface waar het gaat" en de derde keer als je naar "ignore-mode = op" het duurde bijna uur aan te pakken.

Ach, het belangrijkste is dat nu de 'echte' kunnen beginnen zaterdag.