LINUX.ORG.RU
ФорумSecurity

[kernek panick] TCP: Treason uncloaked!, claws-mail segfault.


0

0

Сегодня после загрузки lenny написал мне про случившийся кернел-паник. В логе нашел следующее:

Feb 1 14:50:01 debian kernel: [20226.494077] TCP: Treason uncloaked! Peer 85.226.78.140:23933/45740 shrinks window 1341624941:1341627861. Repaired. Feb 1 15:11:53 debian kernel: [22089.549042] TCP: Treason uncloaked! Peer 85.226.78.140:23933/49988 shrinks window 433336535:433341589. Repaired. Feb 1 15:11:54 debian kernel: [22091.172399] TCP: Treason uncloaked! Peer 85.226.78.140:23933/49988 shrinks window 433336535:433341589. Repaired. Feb 1 15:50:32 debian kernel: [25435.099236] claws-mail[6312]: segfault at b62e5ac4 ip 080e41e6 sp bf956560 error 4 in claws-mail[8048000+295000]

Началось в 12:45, последняя атака в 15:11. С пяти или шести разных адресов. В чем причина паники? В том, что была атака по TCP? Или что мейлер сегфолтнулся? Какие еще артефакты искать в kern.log? Я пока больше ничего необычного не нашел.

Какие меры принять? Кстати, среди багов в баг-листе мейлера я такой ошибки не нашел. Репортить?

★★
Книга по iptables в бумажном виде на Русском
ФЗ N 152 от 27 июля 2006 г.

На одном из форумов предложили такое решение:

#!/bin/bash

for ATTACKER_IP in $(dmesg | grep 'Treason uncloaked!' | cut -d' ' -f5 | cut -d':' -f1 | sort --unique)
do
iptables -A INPUT -s $ATTACKER_IP -j DROP
done

Только не знаю, кому скормить этот скрипт.

frpaul ★★
() автор топика

panic без k. тред не читал.

ShTH
()
Ответ на: комментарий от frpaul

Скрипт странный, скорее это прототип. ИМХО, нужно завести отдельную цепочку, туда отправлять весь входящий из Инета tcp-трафик, цепочку при каждом при выполнении скрипта очищать и заполнять заново. А скрипт засунуть в crontab, раз в минуту.

Хотя kernel panic не должен быть связан с этими сообщениями.

mky ★★★★★
()

Это по-твоему паника?

Паника — это когда индикаторы на клавиатуре SOS вымигивают.

Во всех остальных случаях не вали с больной головы на здоровую.

nnz ★★★★
()

А поиск в google не пробовал по запросу TCP: Treason uncloaked? Никакая это не атака.

В каждом пакете, подтверждающем получение пакета данных (пакет ACK), получатель объявляет количество байт, которыми он может оперировать к настоящему времени. Это позволяет передатчику понять сколько данных нужно послать. Перехватывая пакеты ACK и уменьшая размер объявленного окна, передатчик обманывается, думая что, получатель имеет меньшие возможности, чем на самом деле. Передатчик затем старается уменьшить свою скорость передачи.

Black_Shadow ★★★★★
()
Ответ на: комментарий от Black_Shadow

Это способ управления пропускной способностью.

Black_Shadow ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Книга по iptables в бумажном виде на Русском
Security
ФЗ N 152 от 27 июля 2006 г.