[sage] IP Stack Reset

Snoopy snoopy at snoopix.de
Sat Sep 13 23:50:13 CEST 2008 

Hi,

sieht für mich nach nem Angriffs-Versuch aus? Früher gabs mal "The 
Teardrop Explodes". Da hat man versucht mit Hilfe von getürkten 
IP-Paketen negative Offsets im TCP/IP Stack zu produzieren.

Die meisten Maschinen fielen seinerzeit schnell um (ich glaube das waren 
nur drei Pakete). Ist ne heftge DoS Attacke.

Link down/up ist wohl vom Treiber veranstaltet um seine strukturen neu 
zu initilaiseren, vermute ich.

Love,
Snoopy



Erwin Hoffmann wrote:
> Hallo,
> 
> bei meinem Web-Server [Linux version 2.6.14-2-k7-smp (Debian 
> 2.6.14-2bpo1) (nobse at debian.org <mailto:nobse at debian.org>) (gcc version 
> 3.3.5 (Debian 1:3.3.5-13)) #1 SMP Tue Nov 15 00:28:07 CET 2005 ] habe 
> ich seit einiger Zeit ein Problem:
> 
> dmesg:
> 
> TCP: Treason uncloaked! Peer 87.157.161.245:63005/80 shrinks window 
> 1812961173:1812974241. Repaired.
> TCP: Treason uncloaked! Peer 87.157.161.245:63005/80 shrinks window 
> 1812961173:1812974241. Repaired.
> TCP: Treason uncloaked! Peer 87.157.161.245:63005/80 shrinks window 
> 1812961173:1812974241. Repaired.
> TCP: Treason uncloaked! Peer 87.157.161.245:63005/80 shrinks window 
> 1812961173:1812974241. Repaired.
> eth0: link down
> eth0: link up, 100Mbps, full-duplex, lpa 0x41E1
> eth0: link down
> eth0: link up, 100Mbps, full-duplex, lpa 0x41E1
> 
> D.h. IP Pakete an meinen Apache Server führen (früher oder später) zu 
> einem Reset des Link !
> Leider habe zeichner das blöde System keinen Time-Stamp auf. Ich habe 
> das nur mitbekommen, weil mich die Kiste in letzter Zeit während einer 
> Session rausgeschmissen hat.
> 
> Das Verhalten ist total beknackt.
> 
> Weiss jemand Rat, wie man den Reset abstellen kann ?
> (Wer sowas programmiert, sollte in die tiefste Hölle kommen)
> 
> mfg,
> --eh.
> 
> 
> Dr. Erwin Hoffmann | FEHCom | _http://www.fehcom.de/_
> Wiener Weg 8, 50858 Cologne | T: +49 221 484 4923 | F: ...24
> 
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage

-- 
Snoopy EDV-Beratung

Am Rain 16
85622 Weissenfeld
Germany
Voice:  +49-171-710 03 23
Paper: +49-171-719 35 28
USt-ID: DE233252526

More information about the SAGE mailing list