Bismillahirrahmanirrahiim….
don’t mess with your system’s administrators…..they do know every little dirty things you make to the network… !!!
rasain…!!!!
kejadiannya 2 hari yg lalu sih di monitoring kecatet…..”system critical on ***.***.***.*** , some services are failure”
di trace dari log…rupanya ada user yg bikin script buat generate query request tcp paket secara besar2an ke salah satu server. sampe2 service yang vital ini hampir mampus !!! apa maunya sih tuh orang..udah syukur bisa ngenet kenceng gini juga… masuk blacklist,, ( siap2 aja …:D)
tapi udahlah…sekarang udah aman lagi,biar aja org2 atas yg nyelesainnya….hikmahnya..awa jadi belajar sesuatu yg baru nih,,,wa share disini aja lah ya…. btw sebelumnya, mesin tempat kejadian adalah FreeBSD 6.2 Stable-Release
jadi yang kejadian kemarin itu kira2 gini penjelasannya…
” TCP SYN Flooding causes servers to quit responding to requests to open new connections with clients — a denial of service attack. Denial of service attacks prevent people from using the affected system or networks. These attacks usually proceed by overloading the target in some fashion. For example, simply sending large ping packets can “fill up” a site’s connection to the Internet. Illegally large ping packets, e asily generated by Microsoft products, such as Windows 95 or NT, can cause some systems to crash or reboot as described on the CERT (). “
binun ?? hehehe…intinya mah gini…klo misalnya suatu server di serang oleh suatu paket tcp misal nya y paket ping yang sangat2 besar dan kontinue, sampai di suatu titik tu server bakal mabok…ga bisa nge request query lainnya lagi. kyk http proxy di server awa ato mail bahkan…( sering nya disebut dengan DoS aka denial of service ). nah, kasus yang terjadi ini,, si script tsb menggenerate paket tcp yang mirip ma paket request biasa. nah, si paket ini masuk ke dalam query ke server, tapi namanya juga niat buat nge flood, jadi si request itu dibikin bukan agar untuk mereceive paket lagi,, die cuman ngendon aja menuh2 in query packet tsb sampe time out. Kira2 gini nih analogi paling mudah nya, pas kita ngirim command ping ke suatu host, maka kalo si host itu hidup, die bakal ngereply “Reply from xxxxxxx : bytes = 32 time < ttl =" 128">
Nah,, cara penyembuhan nya…( kek manusia aja pakek sakit…) gampang-gampang mudah, kira2 logikanya kyk gini….paket yang terquery kn biasanya besar n rentang nya tertentu.
1. Jadi kita bakal bikin suatu scenario yang bakal membuat rentang interval query itu jadi lebih besar serta memperkecil timeout requestnya. nah, mengapa kita ngelakuin hal tsb ?? dasarnya gini, query TCP yang biasanya besar dan banyak ( dari HTTP, FTP, SMTP , dsb…) sehingga walaupun ada TCP attack kyk diatas, ga akan ngaruh…hehehe….tapi cara ini sebenanya ga effisien, artinya flooding packet nya tidak hilang, tetep ngendon, cuman bakal hilang nantinya karena periode time out dari query itu sendiri…ngerti ga ya kira2…
2. Cara kedua sih mayan simple, jadi si request tcp itu waktu time out di servernya di perpendek, sehingga ga ngendon dalam waktu yg lama di query server, Jeleknya, request TCP yg bener/ bukan flooded bakal kena imbas nya juga….krn time out nya pendek, ya brt ga bakal lama juga ngendon nya..
3. Cara ini yang paling enak sih sebenarnya, jadi kita kasi TCP filtering dan sedikit modifikasi yang membuat si server ini belajar, ( biasanya di router sih, hehehe….. cara paling ampuh ngelumpuhin satu subnet, serang Router…. ) jadi dia bakal nyari tau kalo suatu paket ini asalnya dari mana ( teknis nya kalo ada suatu query yang ngantri di suatu server, si server itu bakal nyari tau kalo asal packetnya dari mana, kalo alamat received packetnya beda, itu connection bakal di drop..kejam kn ?? siapa suruh maen2 nda bener….hahaha…
nah back ke kasus diatas lagi, cara yg paling mudah buat ngatur point 1 n ke 2 diatas, cukup mudah kok. tinggal tentuin aja waktu time out n selang interval berapa yg kita pengen. iya lah, klo mu milih option 3, mayan ribet,,ntar aja lah ya kapan sempat di post di sini…yg sekarang yang simple2 aja dulu.
cara nya simple si cukup ngetik satu baris aja, make sysctl …
# sysctl net.inet.tcp.conntimeo 25 ! buat ngeset timeout nya jadi 25 s
# sysctl net.socket.maxconn 1024 ! buat ngeset panjang queue nya jadi 1024 entry
biasanya option itu dah ada di /etc/rc.local siy, jadi tinggal di set di sana aja biar pas reboot ga keubah lagi…
segitu dulu aja lah….ntar sambung2 lagi…, btw yg di kejadian kemarin cukup diatasin pake ini, trace2 dikit,, ketauan deh tuh ip dari mana… ada ada aja,untung masi bisa diperbaiki,,,
Ads by Google
Overcome Panic Disorder
Natural formula stops panic attacks immediately. 87% success rate.
Seredyn.com
Kursus Bahasa Inggris
ONLINE, lewat internet. Rp 30.000 per bulan. Dua bulan dijamin bisa
www.carakita.com
Stop Panic Attacks
The Easy Solution for Panic Attacks Breakthrough Video Coaching Series
Easycalm.com/StopPanicAttacks
Stop Panic Attacks
Others Have Done It, You Can Also. Proven Solution 7 Years Running!
www.PanicPortal.com
Terima Kasih Buat Penulis........
don’t mess with your system’s administrators…..they do know every little dirty things you make to the network… !!!
rasain…!!!!
kejadiannya 2 hari yg lalu sih di monitoring kecatet…..”system critical on ***.***.***.*** , some services are failure”
di trace dari log…rupanya ada user yg bikin script buat generate query request tcp paket secara besar2an ke salah satu server. sampe2 service yang vital ini hampir mampus !!! apa maunya sih tuh orang..udah syukur bisa ngenet kenceng gini juga… masuk blacklist,, ( siap2 aja …:D)
tapi udahlah…sekarang udah aman lagi,biar aja org2 atas yg nyelesainnya….hikmahnya..awa jadi belajar sesuatu yg baru nih,,,wa share disini aja lah ya…. btw sebelumnya, mesin tempat kejadian adalah FreeBSD 6.2 Stable-Release
jadi yang kejadian kemarin itu kira2 gini penjelasannya…
” TCP SYN Flooding causes servers to quit responding to requests to open new connections with clients — a denial of service attack. Denial of service attacks prevent people from using the affected system or networks. These attacks usually proceed by overloading the target in some fashion. For example, simply sending large ping packets can “fill up” a site’s connection to the Internet. Illegally large ping packets, e asily generated by Microsoft products, such as Windows 95 or NT, can cause some systems to crash or reboot as described on the CERT (
binun ?? hehehe…intinya mah gini…klo misalnya suatu server di serang oleh suatu paket tcp misal nya y paket ping yang sangat2 besar dan kontinue, sampai di suatu titik tu server bakal mabok…ga bisa nge request query lainnya lagi. kyk http proxy di server awa ato mail bahkan…( sering nya disebut dengan DoS aka denial of service ). nah, kasus yang terjadi ini,, si script tsb menggenerate paket tcp yang mirip ma paket request biasa. nah, si paket ini masuk ke dalam query ke server, tapi namanya juga niat buat nge flood, jadi si request itu dibikin bukan agar untuk mereceive paket lagi,, die cuman ngendon aja menuh2 in query packet tsb sampe time out. Kira2 gini nih analogi paling mudah nya, pas kita ngirim command ping ke suatu host, maka kalo si host itu hidup, die bakal ngereply “Reply from xxxxxxx : bytes = 32 time < ttl =" 128">
Nah,, cara penyembuhan nya…( kek manusia aja pakek sakit…) gampang-gampang mudah, kira2 logikanya kyk gini….paket yang terquery kn biasanya besar n rentang nya tertentu.
1. Jadi kita bakal bikin suatu scenario yang bakal membuat rentang interval query itu jadi lebih besar serta memperkecil timeout requestnya. nah, mengapa kita ngelakuin hal tsb ?? dasarnya gini, query TCP yang biasanya besar dan banyak ( dari HTTP, FTP, SMTP , dsb…) sehingga walaupun ada TCP attack kyk diatas, ga akan ngaruh…hehehe….tapi cara ini sebenanya ga effisien, artinya flooding packet nya tidak hilang, tetep ngendon, cuman bakal hilang nantinya karena periode time out dari query itu sendiri…ngerti ga ya kira2…
2. Cara kedua sih mayan simple, jadi si request tcp itu waktu time out di servernya di perpendek, sehingga ga ngendon dalam waktu yg lama di query server, Jeleknya, request TCP yg bener/ bukan flooded bakal kena imbas nya juga….krn time out nya pendek, ya brt ga bakal lama juga ngendon nya..
3. Cara ini yang paling enak sih sebenarnya, jadi kita kasi TCP filtering dan sedikit modifikasi yang membuat si server ini belajar, ( biasanya di router sih, hehehe….. cara paling ampuh ngelumpuhin satu subnet, serang Router…. ) jadi dia bakal nyari tau kalo suatu paket ini asalnya dari mana ( teknis nya kalo ada suatu query yang ngantri di suatu server, si server itu bakal nyari tau kalo asal packetnya dari mana, kalo alamat received packetnya beda, itu connection bakal di drop..kejam kn ?? siapa suruh maen2 nda bener….hahaha…
nah back ke kasus diatas lagi, cara yg paling mudah buat ngatur point 1 n ke 2 diatas, cukup mudah kok. tinggal tentuin aja waktu time out n selang interval berapa yg kita pengen. iya lah, klo mu milih option 3, mayan ribet,,ntar aja lah ya kapan sempat di post di sini…yg sekarang yang simple2 aja dulu.
cara nya simple si cukup ngetik satu baris aja, make sysctl …
# sysctl net.inet.tcp.conntimeo 25 ! buat ngeset timeout nya jadi 25 s
# sysctl net.socket.maxconn 1024 ! buat ngeset panjang queue nya jadi 1024 entry
biasanya option itu dah ada di /etc/rc.local siy, jadi tinggal di set di sana aja biar pas reboot ga keubah lagi…
segitu dulu aja lah….ntar sambung2 lagi…, btw yg di kejadian kemarin cukup diatasin pake ini, trace2 dikit,, ketauan deh tuh ip dari mana… ada ada aja,untung masi bisa diperbaiki,,,
Ads by Google
Overcome Panic Disorder
Natural formula stops panic attacks immediately. 87% success rate.
Seredyn.com
Kursus Bahasa Inggris
ONLINE, lewat internet. Rp 30.000 per bulan. Dua bulan dijamin bisa
www.carakita.com
Stop Panic Attacks
The Easy Solution for Panic Attacks Breakthrough Video Coaching Series
Easycalm.com/StopPanicAttacks
Stop Panic Attacks
Others Have Done It, You Can Also. Proven Solution 7 Years Running!
www.PanicPortal.com