[GTER] Worm do SQL/1434-udp
Anderson Nadal
security at onda.com.br
Wed Sep 15 10:59:27 -03 2004
Oi Juliano.
Tem no patch-o-matic.
Kernel: 2.6.8, /usr/src/linux
Iptables: 1.2.11, /usr/src/iptables
Each patch is a new feature: many have minimal impact, some do not.
Almost every one has bugs, so don't apply what you don't need!
-------------------------------------------------------
03_linux-2.4.25.patch does not match your source trees, skipping...
Already applied: 01_iptables-1.2.10.patch 01_linux-2.6.3.patch
02_linux-2.6.4.patch
Testing 03_linux-2.6.5.patch... not applied
The 03_linux-2.6.5.patch patch:
Author: Various
Status: Mandatory
This patch contains all netfilter changes between stock kernel
versions 2.6.5 and 2.6.6.
+ Optimization of ip_conntrack_proto_tcp:tcp_packet (Pablo Neira)
+ Locking optimization in ip_conntrack_core (Pablo Neira)
+ Cleanup conntrack helper API (Pablo Neira)
+ Add nf_log handler (Jozsef Kadlecsik)
+ Add 'raw' table (Jozsef Kadlecsik)
+ Add more debug info to TFTP helper (Vineet Mehta)
+ Missing ip_rt_put in ipt_MASQUERADE (Rusty Russell)
-----------------------------------------------------------------
Tem um exemplo abaixo:
Packets marked with NOTRACK can be matched by the 'UNTRACKED'
state. Example
# Very busy webserver
iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK
iptables -t raw -A PREROUTING -s 1.2.3.4 -p tcp --sport 80 -j NOTRACK
...
# filter rules
iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
[]'s
Nadal
Juliano Souza wrote:
>Onde acho o site ou a documentação sobre este patch raw?
>
>Att,
>
>
>
>Juliano
>
>----- Original Message -----
>From: "Rubens Kuhl Jr." <rubens at email.com>
>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
><gter at eng.registro.br>
>Sent: Tuesday, September 14, 2004 5:08 PM
>Subject: Re: [GTER] Worm do SQL/1434-udp
>
>
>
>
>>>>Pq vc afirma que é o processamento do QoS que vai para 90% ?
>>>>
>>>>
>>>-----Pq eu tiro o cabo do cliente e logo abaixa o processamento, vejo
>>>
>>>
>via
>
>
>>>top e pela inserção de caracteres no terminal
>>>
>>>
>>Isso significa que todos a carga gerada pelo pacote (entrada, roteamento,
>>
>>
>filtros de saída, QoS, transmissão) causa isso, esse teste não isola nenhum
>dos componentes em particular.
>
>
>>>>De qualquer forma, QoS é tipicamente de saída... habilite filtro de
>>>>
>>>>
>>>pacotes para UDP 1434(como vc faz bridge, pode ser via bridge-nf, mas
>>>
>>>
>não
>
>
>>>aconselho
>>>conntrack nesse cenário), e jogue o lixo no lixo.
>>>
>>>-----Pq naum aconselha conntrack neste cenário, o que seria ideal?
>>>
>>>
>>Pq worms geram fluxos em demasia e rapidamente lotam tabelas de sessões
>>
>>
>como a do conntrack.
>
>
>>O ideal é não carregar o conntrack; se vc precisa por algum motivo nesta
>>
>>
>máquina, instale o patch RAW e coloque todos os tráfegos que não precisem em
>NOTRACK.
>
>
>>>-----Mas mesmo assim, filtro udp 1434 para saída. naum soh ele, mas tbm
>>>todas as portas que os vírus utilizam, mas até aí, o pacote chega de
>>>qualquer jeito na QoS.
>>>
>>>
>>Pq colocar os filtros na saída e deixar pacotes que serão dropados
>>
>>
>gastarem seus recursos ? Coloque na entrada, se possível direto no
>PREROUTING.
>
>
>>Além disso, se o pacote é dropado no filtro de saída, ele vem antes do
>>
>>
>QoS... QoS é a última coisa a que um pacote é submetido, depois ele já é
>transmitido.
>
>
>>Rubens
>>
>>
>>--
>>GTER list https://eng.registro.br/mailman/listinfo/gter
>>
>>
>>
>
>--
>GTER list https://eng.registro.br/mailman/listinfo/gter
>
>
>
--
+-------------------------------------------------------+
| Anderson Nadal <nadal at ondacorp.com.br> |
| RHCE - Red Hat Certified Engineer |
| Coordenador Tecnico |
| Onda Provedor de Serviços S/A http://www.onda.com.br |
| Registered Linux User: 56841 |
| PGP KEY: www.keyserver.net KEY ID 6ABB668D |
| "There are 10 types of people in the world: Those who |
| understand binary, and those who don't" |
+-------------------------------------------------------+
More information about the gter
mailing list