Re: Memory Problem ?

From: Peter Wullinger <some-mail-drop(at)gmx.net>
Date: Thu, 15 Apr 2004 08:08:39 +0200



In epistula a Hannes Widmer, die horaque Wed, Apr 14, 2004 at 03:43:42PM +0200:


> Kleine Frage vorneweg: Mit welchem Tool / Command, 


> kann ich mehr über die Mac rausfinden? Sodass ich 


>  dem ISP genauere Infos geben  kann ?



% ifconfig vr0


zeigt deine eigene MAC-Adresse an (als ether: xx:xx:xx:xx:xx:xx)



Beispiel:


% ifconfig fxp0


fxp0: flags=9843<UP,BROADCAST,RUNNING,SIMPLEX,LINK0,MULTICAST> mtu 1500


        options=3<RXCSUM,TXCSUM>


[...]		


        ether 00:02:b3:xx:xx:xx


                media: Ethernet autoselect (100baseTX <full-duplex>)


                status: active



% tcpdump -tttvi vr0 arp



zeigt dir (wie schon erwähnt alle) ARP Pakete. Wenn


da sehr viel der Art "arp reply matrix is-at xx:xx:xx:xx:xx:xx,"


wobei die MAC Adresse NICHT deine eigene ist, rumschwirrt,


dann stimmt was nicht. Solche Pakete darf formal nur


deine eigene Maschine erzeugen, alles andere ist schon


mal (absichtlich oder nicht) falsch. Und deine Maschine


generiert die Dinger nur auf Anfrage und mit der MAC


Adresse von ihrem eigenen Interface (wohl vr0).



arpwatch (http://www.securityfocus.com/tools/142)


soll auch schon mal gute Dienste geleistet haben.



> [Oliver Fromme wrote:]


> > Der mysqld ist schon von Natur aus so groß gewesen; dazu 


> > braucht's keinen Angriff, und schon gar keinen mit Buffer- 


> > Overflow (normalerweise kann man sowas schon mit einfache- 


> > ren Angriffen (DoS) erreichen).



Danke Olli,



Daran hatte ich gar nicht gedacht, daß sich einfach auch


zu viele httpd's im System tummeln könnten.



> 


> Einfacheren dos angriffen?... Was ist da ein gutes Beispiel?...



Einfaches SYN-Flooding reicht da wohl schon


(außer du hast net.inet.tcp.syncookies=1 ;-)):



        Angreifer			Ziel


        n = 0


while (1)


        SYN(an Port 80)		nimmt an, forkt apache child


        n++



                                                fuer n > ~ 64: 


                                                Speicher voll



                                                Bei dir: (712 MB swap + 128 RAM) / 11 MB apache,


                                                allerdings grobe Rechnung.



Ein Standard-ARP-Spoofing Angriff funktioniert irgendwie so:



- die Kiste zumüllen, damit sie nicht mehr antworten kann.


  (Denial of Service)


- Die IP Adresse der Kiste mit (relativ) vielen ARP-Replies


  auf die MAC-Adresse des Angreifers umlenken, d.h. dafür


  sorgen, daß alle Rechner am selben Netz glauben, die


  Ziel-IP wäre auf einer anderen MAC-Adresse zu finden


  (ARP Cache Poisoning)


- Auf die falsch zugeleiteten Anfragen anworten. 



Ob und wenn, warum sowas bei dir der Fall sein könnte:


Keine Ahnung, aber die Möglichkeit besteht.



Gruß,


        Peter



-- 
Deutschland hat immer für den Frieden gekämpft! Notfalls mit Waffengewalt!
	-- Dieter Hildebrandt
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 15 Apr 2004 - 08:09:12 CEST













search this site