Mă întreba Valsis dacă aș putea descrie cum se instalează un sistem de linux, gata pentru a deservi pagini web. Citind blogul corporativ al companiei de hosting verolog.net am găsit un asemenea articol.

Cum să-ți faci propriul hosting.

În mare parte, tutorialul e destul de bun, adica, soluția e funcționabilă. Eu aș mai fi adăugat niște module în plus la apache, niște chestii de securitate, dar asta-i prea complicat pentru niște începători entuziaști – i-ar speria.

(Articol doar pentru sysadmini, cititorul de rând îl va găsi foarte plictisitor)

Dacă vă aduceţi aminte, scriam cândva despre un instrument de monitorizare a performanţei calculatoarelor cu sisteme POSIX compatibile.

Azi am intrat la ei pe site, să văd dacă nu-i vreo înnoire, şi am descoperit că proiectul a devenit open source. Până acum el era un proiect intern, al IBM, dar se ofereau binare şi pentru câteva distribuţii GNU/Linux, acum se oferă şi codul sursă.

nmon for Linux released to open source under GPL – it was an internal project at IBM for many years.

The source code and further information is available at Sourceforge and in particular at the new nmon for Linux wiki at http://nmon.sourceforge.net.

This means that you can compile nmon for Linux for your specific Linux flavour and help improve it further.

Sunt sigur că acest pas e foarte bun pentru proiect.

Am văzut că au îmbunătăţit şi nmonanalyzer - documentul Excel care parsează fişierele csv generate de nmon. A apărut versiunea care poate analiza csv-urile generate pe mai multe maşini odată, creând un singur fişier de raport – nmonconsolidator. Mai am o doleanţă în privinţa acestui proiect: să porteze Nmon_Analyzer pentru OpenOffice.org.

Uneori mai fac şmecheria de a schimba repozitoriile în Ubuntu, în loc de hardy schimb în jaunty, asta pentru a instala versiunea mai nouă a unor programe. Din această cauză, uneori apar probleme, că se instalează dependinţe mai noi, şi când încerc deja să instalez vreo aplicaţie din repozitoriile lui hardy, sistemus spune că depinde de o versiune mai veche a unei dependinţe, şi nu poate instala.

Când apar asemenea probleme, trebuie să instalăm versiunea aceea veche. Iată cum:

$ apt-cache showpkg perl-base

(asta pentru pachetul perl-base).

va afişa următoarele:

Provides:
5.10.0-23 - perlapi-5.10.0 perl5-base libxsloader-perl libscalar-list-utils-perl
5.10.0-19 - perlapi-5.10.0 perl5-base libxsloader-perl libscalar-list-utils-perl

Să zicem că pe noi ne interesează versiunea 5.10.0-19. Facem următoarele:

$ sudo aptitude install perl-base=5.10.0-19

Vedeţi bine, am pus numele pachetului (perl-base), semnul egal (=) şi versiunea care mă interesează.

This is an English translation of one of my previous posts.

I had to configure a public proxy server. On Internet I found few information on this, so I tried to see whether I can do it by myself, without any tutorial. It was quite simple.

In Debian/Ubuntu:

$ apt-get install squid squid-common

So, our proxy server is installed. We need to do some tweaking, in order to behave as a public proxy server.

$ vim /etc/squid/squid.conf

Find the line:

http_access allow localhost

and change it to:

http_access allow all

Save the file, and then restart squid:

$ /etc/init.d/squid restart

That’s all!

In Firefox preferences, at the proxy settings, put the ip of your new configured proxy server, and the port 3128.

If you plan to limit the access to your server just for your IP, add the following iptables rules on the server side:

$ iptables -I INPUT 1 -p tcp --dport 3128 -j DROP
$ iptables -I INPUT 1 -p tcp --dport 3128 -s your-ip -j ACCEPT

Now, that’s all!

A aparut versiunea 8.10 a distributiei OpenGEU. Numele de cod – Luna Serena (cred ca inseamna luna plina).

Iata pagina oficiala.

Includ un video mic cu el in actiune:

Mie mi-a placut (unii ar putea sa socoata ca-i prea sofisticat).

Saptamana trecuta m-am chinuit sa fac un script care sa genereze un cvs bazat pe outputul comenzii top, astfel ca sa-l pot folosi in generarea de rapoarte.

Scriptul s-a primit bine, colecteaza date despre sistem odata la 1 ora, dar cand am facut rapoartele, mai ales graficele, am ramas dezamagit. Comanda top arata gresit utilizarea cpu.

Asta am inteles atunci cand am adunat utilizarea cpu de catre toate procesele, si am comparat cu cifra indicata de top pentru cpu. Astfel, un program utiliza 13 % CPU, dar top-ul imi spunea ca consumul CPU e de 8%. (eu folosesc “top -b -n 1″).

Sysstat-ul e bun, dar din cate am vazut, el tot nu poate face cvs-uri.

Am cautat si am gasit un instrument care face exact ce-mi trebuie mie: nmon.

Instrumentul e facut de un angajat IBM, este versiune si pentru Linux. Instalarea e simpla: pe Debian – de copiat pachetul pentru Knoppix (dupa dezarhivare) in mapa /usr/local/bin/nmon . Eu am testat pachetul de RHEL, merge si pe Debian.

Dupa care executati comanda nmon .

Mai sus este o captura de ecran cu nmon lucrand in doua terminale, pentru a avea o privire mai de ansamblu (am facut split lui yakuake). Imediat dupa executie veti vedea un ecran ajutator, cu lista de optiuni. Pentru a vedea acest meniu de ajutor, apasati “?” oricand.

Pentru a-l ascunde, mai apasati odata “?”. Chestia asta merge cu toate optiunile de acolo.

Iata ce monitorizez eu (in screenshot):

In partea stanga:

c = CPU by processor

m = Memory and Swap  stats

t = Top Process Stats 1=basic 3=CPU

In partea dreapta:

v = Verbose Simple Checks – OK/Warnings/Danger

l = longer term CPU averages

n = Network stats

d = Disk I/O Graphs D=Stats

Pentru a rula nmon pasiv, ca sa colecteze date despre sistem, recomand:

nmon -fT -s 900 -c 96

Ce face aceasta comanda? Creaza un fisier cu statistici, in care baga odata la 900 secunde (15 minute) date noi, de 96 ori (24 ore).

Fisierul va fi creat in mapa din care executati, va avea extensia nmon. Cand se vor fi implinit 24 ore, veti executa:

cat numele_fisierului.nmon | sort -A > /tmp/raport-data_de_azi.csv

Deschideti cvs-ul cu spreadsheet-ul preferat (OpenOffice.org sau M$ Excel).

Puteti adauga un cron. Editati /etc/crontab si adaugati urmatoarea linie:

1 0 * * *     root     nmon -m /home/user/rapoarte -fT -s 900 -c 96

folosim aici optiunea -m pentru a indica directoriul din care sa se execute comanda, si respectiv, in care se vor salva fisierele cu statistici.

Pentru informatie despre editarea /etc/crontab – vizitati acest site.

Am aflat pe Distrowatch ca echipa ArtistX isi bucura utilizatorii cu o noua versiune a distributiei.

Ca sa fiu mai clar:

ArtistX este o distributie Linux.

Linux este un sistem de operare, gratuit, care poate fi folosit in locul Windows. Pentru ca este gratuit, si poate fi modificat de oricine, in lume sunt sute de versiuni diferite de Linux (corect i se zice GNU/Linux), fiecare venind cu un set de programe preinstalate, iar aceste versiuni se numesc distributii.

Exista distributii pentru designeri (cu programe pentru design), distributii pentru scoli (cu programe educative), distributii pentru copii, pentru fete, pentru crestini, pentru musulmani, pentru hackeri, pentru muzicieni etc. Majoritatea distributiilor vin cu:

Browser Firefox (multe distributii vin cu flash si java instalate din start)

Pachet Office (similar lui Microsoft Office). In Linux ele-s mai multe, cel mai popular e OpenOffice.org

Pachet de editare grafica – GIMP, aproximativ la fel de puternic ca si Photoshop (ma face sa rad ca Microsoft include paint in toate versiunile sale, de la windows 95 pana la Windows 7)

Programe Multumedia (majoritatea distributiilor vin cu codecuri de-a gata)

Program vizualizare PDF (pe langa PDF mai vede si djvu, si multe alte formaturi)

Din orice program din care se poate tipari, puteti face documente PDF (print as PDF)

Si multe alte programe.

In majoritatea distributiilor instalarea unui program nou este simpla ca buna ziua. Pornesti un program, scrii cuvinte cheie, el iti gaseste toate aplicatiile care contin aceste cuvinte, selectezi aplicatiile pe care vrei sa le instalezi, si apesi un buton. Programul descarca din internet aplicatiile, le instaleaza, si-ti spune ca treaba-i facuta. Atat! Fara licente, next-next-uri. Astfel, indiferent ce distributie va instalati la inceput, puteti instala toate programele din alta distributie, in cativa pasi simpli.

Sa revenim la ArtistX. Aici este situl oficial. Autorii au reusit sa includa in el peste 2500 programe care au treaba cu prelucrarea audio, video, imagini (pana si pdf-uri puteti prelucra, adica modifica).

Aici sunt capturi de ecran.

Iata faimosul Compiz in actiune:

Compiz in Functiune

Pentru cei care nu stiu, in Linux utilizatorii au asa o chestie care se cheama spatiu de lucru virtual. De obicei sunt patru astfel de spatii, ele-s ca patru desktopuri independente unul de altul, fiecare cu ferestrele lui deschise. Asta ca sa nu se umple taskbarul cu aplicatii. O fereastra o folosesc pentru lucru, alta pentru muzica, alta pentru Internet, etc. E foarte comod. In imaginea de mai sus vedeti cum se comuteaza intre aceste ferestre daca aveti programul Compiz instalat, si daca aveti placa video cu accelerator 3d.

Cum sa incepeti?

Tot ce trebuie sa faceti este sa downloadati imaginea iso, sa o inscriptionati pe un DVD, si porniti computerul cu dvd-ul inauntru. Sistemul va porni si fara sa-l instalati (Da, chiar lucreaza direct de pe DVD), astvel ca puteti face cunostinta cu el, si sa va decideti daca va place sau nu.

La instalare, el nu sterge Windows-ul (daca selectati partitionare manuala si nu automata). Astfel, cand porniti calculatorul, va va intreba: ce vrei sa pornesti? Windows sau Linux?

Un lucru trebuie sa stiti pentru instalare – la partitionare recomand urmatoarele configuratii:

1. Partitie pentru root (pe care va fi montat /): 15 GB (nu mai putin de 7) – Sistemul de fisiere – ext3

2. Recomand o partitie pentru HOME (aici vor sta toate fisierele personale). Recomand de la 10 GB in sus (dar nu mai putin de 3 GB, asta pentru un film si doua discuri). Veti selecta ca pe aceasta partitie sa se monteze /home – Sistemul de fisiere – ext3

3. Partitie SWAP – sa fie dublul memoriei voastre operative (RAM) – sistemul de fisiere  -swap.

Ah, era sa uit. Singurul handicap al Linux-ului este ca nu ruleaza jocurile facute pentru windows (cel putin, nu le ruleaza perfect). Jucatorii inraiti pot sa-si pastreze si windows-ul, anume pentru acest scop.

Alt handicap… Linux-ul nu are virusi . “Antivirusii” inraiti vor trebui sa pastreze windows pentru asta.

Scriu acest articol mai mult pentru mine, pentru ca sa nu uit ce am facut.

Sa zicem ca administram site-ul www.exemplu.com . Si ne trebuie sa fim alertati prin email atunci cand acest site nu functioneaza cum trebuie, sau nu se incarca, ori se incarca cu erori.

Ce solutii avem? Una ar fi Nagios, o platforma de monitorizare foarte buna. Nagios are incluse pluginuri cum ar fi check_http, sau check_mysql, e un instrument foarte bun pentru cineva care trebuie sa monitorizeze unul sau mai multe servere. Dar are si anumite dezavantaje, unul ar fi acela ca se instaleaza si configureaza relativ greu pentru cineva care nu cunoaste macar un limbaj de programare (cazul meu). Avantajul este ca necesita foarte buna organizare din partea persoanei care configureaza (te obliga sa fii organizat). Dar Nagios nu ofera pluginuri care sa-ti arate daca o pagina se incarca normal, fara erori, ci doar iti arata ca serverul http functioneaza bine.

E drept ca cine se pricepe poate scrie un plugin pentru aceasta misiune, asa un plugin ar avea succes pe Nagios Exchange http://www.nagiosexchange.org/ .

Eu am ales o solutie mai simpla, care isi face treaba la moment. Am incercat si merge.

Eu am pornit de la ideea ca daca o pagina nu se incarca, apache-ul genereaza erori. Prin urmare trebuie de configurat o programa care sa verifice ultimele schimbari din logul cu errori de la apache, si sa le trimita pe email.

Din fericire, este asa o programa, se cheama Logcheck. Eu o folosesc pentru ca sa scaneze logurile de sistem, si sa-mi trimita un rezumat odata la jumate de ora pe email. Vreau sa spun ca-s foarte multumit de acest program, pentru ca nu trebuie sa deschid manual logurile, sa vad de unde m-am oprit data trecuta, si sa trec cu privirea prin o gramada de mesaje nesemnificative ca sa vad ceva ce prezinta pericol (un eventual atac). Logcheck vine impreuna cu alt program, Logtail, care verifica modificarile de la ultima verificare. In functie de anumite cuvinte cheie (fisierele cu cuvinte cheie pot fi modificate, dar eu le-am lasat asa, caci sunt satisfacut), logcheck iti trimite pe email intrarile neobisnuite sau care prezinta pericol (asta daca este configurat serverul de posta, eu folosesc exim4, care-i usor de configurat).

1. Instalarea Logcheck-ului:

Pe server, executam urmatoarele comenzi:

# cd /usr/local/src

# mkdir logcheck

#cd logcheck

# wget http://heanet.dl.sourceforge.net/sourceforge/logcheck/logcheck-1.1.1.tar.gz

# tar xvzf logcheck-1.1.1.tar.gz

# cd logcheck-1.1.1

Cititi bine fisierele README si INSTALL, ca sa intelegeti despre ce merge vorba. In functie de sistemul vostru, tastati:

# make Linux

(nu mai tin minte daca cu L mare sau mic), se poate de facut doar make, si apoi manual de editat scripturile.

Daca va intreaba unde vreti sa instalati (/usr/local/etc), spuneti ca acolo vreti, adica in /usr/local/etc.

Acum trebuie de editat scriptul sa verifice logurile care trebuie. Pentru asta folositi comanda:

# vim /usr/local/etc/logcheck.sh

(sau daca nu cunoasteti vim):

# nano /usr/local/etc/logcheck.sh

(apropo, ca sa iesiti din vim trebuie sa tastati Esc, dupa care “:q!” si Enter)

cautati sectia care suna in felul urmator:

# Linux Red Hat Version 3.x, 4.x
$LOGTAIL /var/log/syslog > $TMPDIR/check.$$
$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/fail2ban.log >> $TMPDIR/check.$$

Decomentati ce va trebuie, comentati ce nu va trebuie, editati calea spre logurile importante (in Debian precis trebuie editare, ceea ce vedeti mai sus este calea spre /var/log/syslog, in default era altceva). Eu am adaugat si logul de la fail2ban, imi place sa vad cine este banat atunci cand incearca sa-mi sparga computerul prin forta bruta.

Daca vreti ca logurile de sistem sa fie verificate impreuna cu acelea de la apache, adaugati o linie care arata cam asa:

$LOGTAIL /var/log/apache2/error.log >> $TMPDIR/check.$$

Daca vreti sa fie verificate la un interval mai scurt, cititi mai departe.

Pentru a verifica doar un singur site, adaugati in configurare la apache (la virtualhost-ul respectiv), o linie:

ErrorLog /var/log/apache2/site-ul-meu-error.log

Dupa care reporniti apache-ul.

Si specificati in logcheck.sh calea spre acest log.

Inca ceva, tot in logcheck.sh gasiti campul

# Person to send log activity to.
SYSADMIN=

puneti dupa semnul egal emailul vostru.

Ca sa verificati daca functioneaza bine, executati:

# /bin/sh /usr/local/etc/logcheck.sh

daca ati primit vreun email (verificat in spam la fel), atunci adaugati un cronjob:

# vim /etc/crontab

(sau nano, daca e greu vim-ul)

adaugati o linie dupa exemplul urmator:

*/30 * * * *  root  /bin/sh /usr/local/etc/logcheck.sh

(asta ca programul sa se execute la fiecare 30 minute)

Acum sa trecem la partea mai interesanta.

Eu am vrut ca logurile de la apache sa se verifice la fiecare 5 minute, spre deosebire de cele de sistem. Tot ce a trebuit sa fac a fost sa copii /usr/local/etc/logcheck.sh in /usr/local/etc/logcheck-apache.sh, sa editez acest ultim fisier (sa scot toate logurile de sistem, si sa adaug logurile de la apache), si sa adaug in crontab inca o linie:

*/5 * * * * root  /bin/sh /usr/local/etc/logcheck-apache.sh

Asta a fost de ajuns.

Acum, eu am observat ca atunci cand sunt erori mysql, apache-ul nu inregistreaza erori in loguri. Aici a trebuit sa hackeresc oleaca. M-am gandit sa fac un script care sa scaneze o pagina anume (care ar genera erori mysql in caz ca s-ar opri serverul mysql), si daca gaseste cuvinte de genul “mysql”, sa ataseze aceste linii in /var/log/apache2/site-ul-meu-error.log.

Iata codul:

wget -nv -O – “http://www.site-ul-meu.com/validate.php” 2>&1 | grep mysql | cat >> /var/log/apache2/site-ul-meu-error.log &&

validate.php este o pagina care face apel la mysql (iar cand mysql-ul nu lucreaza, apar niste mesaje neplacute pe el).

Aceasta linie am introdus-o in /usr/local/etc/logcheck-apache.sh , taman inainte de liniile:

umask 077
rm -f $TMPDIR/check.$$ $TMPDIR/checkoutput.$$ $TMPDIR/checkreport.$$

Iata in principiu, pe scurt, tot ce am avut de spus.

I had a problem today, with the MySQL on one system claiming that:

Check that mysqld is running and that the socket: ‘/var/run/mysqld/mysqld.sock‘ exists!

After google-ing a little, I didn’t find a solution to solve my problem. But finally I solved the problem. Here is the solution:

1. Check the ownership and permisions of /var/run/mysqld/

# ls -l /var/run/ | grep mysqld

It must be of the user mysql, and the group root.

2. Make a backup of the my.cnf (as root) :

# sudo mv /etc/mysql/my.cnf /etc/mysql/my.cnf.back

3. Reconfigure Mysql-server:

# dpkg-reconfigure mysql-server-5.0

Provide the desired root password, and… There you go (of course you can edit the newly created my.cnf, to suit your needs).

Dupa cum probabil ca stiti, exista un fel de atacuri, care secheama DOS (Denial of Service Attack). Ele se manifesta prin faptul ca atacatorul provoaca consum puternic de resurse la computerul atacat. Cel mai frecvent, e vorba de consum de banda. Imaginati-va ca aveti un server pe care sta site-ul vostru. Si viteza de upload este relativ mica, dar va ajunge pentru cele cateva mii de vizitatori pe zi. Acum un om cu intentii rele se apuca, si de la un computer cu o viteza mai mare incepe sa abuzeze computerul vostru, sa ceara informatie de la el la o viteza mult mai mare decat puteti oferi. Ce se va intampla? Toata banda voastra va fi ocupata de solicitarile omului cu intentii rele, iar cei cativa mii de vizitatori nici nu vor putea deschide site-ul vostru. Iata asta se cheama atac DoS. Daca atacul vine de la mai multe computere in acelasi timp, atacul se cheama DDoS (Distributed Denial of Service).
Acum tehnicile de atac au devenit mai sofisticate si mai destepte, astfel incat un server super puternic poate fi doborat de un om cu legatura prin dial-up (adica,

prin telefon simplu). Eu nu voi exlica in detaliu cum se fac aceste atacuri sofisticate, dar voi da un exemplu, mai spre sfarsit.
Am gasit pe internet, cica, cum sa faci atacuri DoS, asa niste sfaturi incat aproape am ras. E vorba de comanda ping, pe care o lansezi din zece command prompt-uri in Windows, si astepti… dividende probabil. Am incercat aceasta metoda, dar e atat de ineficienta!!! Este ca si cum ai incerca cu cursorul-ul sa omori o musca de pe ecran.
Cel mai simplu pentru un administrator este sa blocheze cererile prin protocolul icmp (prin care lucreaza ping-ul), fara sa afecteze celalalt tip de trafic.
asta se face prin comanda:
# iptables -A INPUT -p icmp -o eth0 -j DROP
Am citit nu demult despre asa o strategie de DoS – intr-o retea, cineva trimite pachete la broadcast, falsificand adresa de IP a victimei, va primi pachete inapoi de la toate computerele din retea. Ceea ce poate sa amplifice de sute de ori puterea atacului. Dar cum se poate de falsificat ip-ul de la care vine un pachet? Si cum se poate de trimis un pachet altul decat icmp?
Azi mi-am instalat un program, se cheama hping3. Site-ul este acesta http://www.hping.org . Acesta este un instrument de pinguit atat de puternic, cu atatea setari posibile, incat imi place aproape la fel de mult ca nmap-ul.
Cine foloseste Linux, il poate instala din repozitorii, asa cum am facut eu.
Care-i diferenta intre hping3 si ping? Sunt multe diferente, eu voi vorbi doar despre cateva:
1. Poti sa selectezi intensitatea pinguirii. Este ceva de genul fast, faster si flood, ultimul fiind cel mai puternic, si folosind toata banda.
2. Poti specifica tipul de pachete – in primul rand protocolol – tcp, udp si icmp, apoi diferite pachete de tip Syn, Ack, Fin (cine vrea sa inteleaga la ce se refera ceea ce spun, sa intre aici http://iptables-tutorial.frozentux.net/iptables-tutorial.html#TCPCHARACTERISTICS)
3. Poti falsifica adresa ta, astfel ca daca ii trimiti cuiva pachete Syn, el va incerca sa trimita SYN/ACK sau SYN/RST la adresa din headerele pachetelor, care poate fi orice adresa doresti tu, chiar una inexistenta. Astfel, este imposibil sa fii identificat. Daca vi-i lene sa specificati o adresa, puteti pune ca ea sa fie aleatorie, si atunci fiecare pachet va avea o adresa diferita din tot internetul practic. Asta pe langa faptul ca va ascunde identitatea, e o masura buna prin faptul ca nu veti primi ca un bumerang pachete de raspuns inapoi.
4. Multe multe alte imbunatatiri. Va recomand sa citi paginile de manual din sistemul vostru, prin comanda “man hping3″.

Cum se executa un flood? Ne uitam pe Wikipedia: http://en.wikipedia.org/wiki/SYN_flood . Asta este ceea ce dorim noi sa testam – un SYN flood. Dupa cum am explicat si mai sus, ideea este ca noi trimitem pachete de tip SYN (cred ca vine de la synchronize), pachete cu care se incep orice tranzactii tcp. In functie daca victima accepta sau refuza inceapa vreo tranzactie, va trimite inapoi (sau la adresa falsa) pachete de tip SYN/ACK (cred ca syncronize acknowledge) sau SYN/RST (credca asta inseamna synchronize reset). Dar computerul care sta in spatele adresei pe care noi o vom falsifica, va primi aceste pachete, si nu va intelege nimic, pentru ca el nu a trimis nici un pachet SYN ca sa primeasca raspuns. Asta ca si cum cineva ti-ar spune pe strada: Buna sa-ti fie inima! Ori ti-ar zice deodata: Cu placere! Te vei gandi ca-i aiurit, odata ce tu nu i-ai spus nimic de genul Buna Ziua, si nici Multumesc.
Sa zicem ca vrem sa testam un server de-al nostru, cu ip-ul 232.35.237.87, care este web server (adica pe el sta un site de-al nostru). Folosim comanda:

# hping3 -a un.ip.fals -S -p 80 –flood 232.35.237.87 &

Si apasam Enter.
Explic ce inseamna:
-a – asta spune adresa pe care vrem sa o folosim in pachete ca fiind sursa. Cu alte cuvinte, punem aici o adresa falsificata.
-S – ii spune programului sa trimita pachete de tip SYN.
-p 80 – pachetele vor fi trimise pe portul 80 (portul http).
–flood – pachetele vor fi trimise la viteza maxima.
Eu cand am incercat, prin optiunea –flood programul a trimis 12 milioane de pachete in cateva minute.

In loc de o adresa falsificata, putem folosi optiunea –rand-source, astfel, comanda va fi in forma urmatoare:

# hping3 –rand-source -S 232.35.237.87 -p 80 –flood &

Aceasta comanda va pune in headerele pachetelor trimise surse aleatorii, din tot internetul.
Eu am testat aceasta comanda pe unul din serverele de care raspund doar.

Ce pot sa spun… In lumea hackerilor, atacurile DoS sunt cel mai putin respectate, pentru ca nu este nevoie de mare inteligenta pentru a le efectua. Totusi, ele sunt ca si automatul kalashnikov – simple de folosit, ieftine si eficiente. Oricine le poate face, dar nu oricine se poate proteja de ele.

Cum am putea folosi aceste tehnici in scopuri nobile?
http://www.haberturk.com/haber.asp?id=44453&cat=200&dt=2007/11/16 Aici este un articol in limba turca, despre faptul ca Moldova este un bordel pentru rapanosii turci. Se mai dau sfaturi, pentru acesti rapanosi, ca noaptea sa fie atenti unde tin banii, pentru ca fetele cica iau cate 300 dolari pe noapte, dar daca nu esti atent poti sa te trezesti fara bani si documente, iar politia nici nu te ajuta in asemenea situatii (cumde oare? Asta-i discriminare, ca politistii sa nu se implice in asemenea cazuri, e xenofobie adevarata!). Iata traducerea in romana: http://www.unimedia.md/index.php?mod=home&hmod=newsbyid&id=2717
Sa fie clar ca eu nu am nimic impotriva poporului turc, cin doar impotriva persoanelor care se comporta asa cum este descris in articol, si impotriva ziaristilor care isi permit sa scrie asemenea marsavenii (abuzeaza de libertatea cuvantului).
Deschidem un terminal, si vedem ce ip are site-ul turcesc:

# host www.haberturk.com
www.haberturk.com has address 213.74.20.117

Asta este aproape de ajuns. Sa zicem ca ati instalat deja hping3, ori din repozitorii ori din surse. Acum intram sub root:
# su
sau in Ubuntu:
# sudo su
Scriem parola, si urmatorul pas este sa pornim floodul:

# hping3 –rand-source -S 213.74.20.117 -p 80 –flood

Daca credeti ca singuri nu veti aduce daune mari, implicati-va prietenii. Trimiteti-le link la aceasta pagina, sa se documenteze, si sa porneasca si ei flood-ul, la aceeasi destinatie. Iar ei sa sune pe prietenii lor. Important este sa fie lucru de echipa, si in acelasi timp. Si ar fi bine sa fie in timpul zilei, caci seara ei si asa nu au vizite. Daca va trebuie si voua banda, puteti sa limitati intensitatea, folosind in loc de –flood sintagma –faster, iar daca vreti sa trimiteti doar 10 pachete pe secunda, folositi sintagma –fast in loc de ele. Astfel, comanda va fi:

# hping3 --rand-source -S 213.74.20.117 -p 80 --faster

sau

# hping3 --rand-source -S 213.74.20.117 -p 80 --fast


Acest tip de atacuri sunt foarte greu de detectat, si-i greu de luat contramasuri. Contramasurile se iau la nivel de ISP (provider de internet), daca cumpara routere destepte, care sa nu primeasca din afara pachete identificate ca fiind de dinauntru, si sa nu dea voie in afara pachete identificate ca provenind din afara. Si e foarte greu sa prinda flooderii, cred ca ar putea doar daca ar opri pe rand internetul la un sector, si apoi la alt sector, sa vada daca cu asta se reduce cumva flood-ul, iar apoi, in sectorul identificat, sa intrerupa la o parte din utilizatori iarasi, si asa mai departe pana ramane la unul singur. Nu cred sa se ajunga la asta, iar daca sunt macar vreo zece baieti din diferite colturi ale orasului sa efectueze acelasi lucru, atunci este practic imposibil sa identifici ceva.
Daca aveti noroc, pagina dusmanilor va fi nedisponibila pe o perioada, iar dusmanii vor avea timp sa se gandeasca cu ce oare au gresit.

Iata asa. Ah, era sa uit. Daca va intrebati de unde puteti downloada un linux bun, recomand Kiwi Linux pentru incepatori. Iata link http://kiwilinux.org/ . Dupa ce-l downloadati si instalati, lansati un terminal, scrieti:
sudo apt-get update
apasati Enter, scrieti parola, dupa care scrieti:
sudo apt-get install hping3
iarasi apasati Enter, dupa care scrieti mai departe:
sudo su
si mai departe, comanda de mai sus. Bafta.

ps. Vad ca wordpress-ul imi pune in loc de doua linii o linie lunga. Stie cineva cum sa fac ca textul sa nu fie formatat? Am in vedere, acolo unde spun de –rand-source, sunt de fapt doua linii inainte, dar wordpress-ul le uneste. La fel si in fata la –flood, si –fast si –faster.

UPDATE: Acum inteleg si efectul SYN FLOOD-ului: partea atacata pastreaza in cache pachetele, si asteapta raspuns la pachetele trimise de ea, iar cand se umple cache-ul, incepe sa opreasca conectiunile legitime. E foarte puternica tehnica de atac, si vorba rusului: “protiv loma net prijoma”. Pentru a evita ca conectiunile legitime sa fie aruncate din aceasta cauza, sysadminii trebuie sa activeze syn cookies, iata specificarea lor – http://cr.yp.to/syncookies.html (dar numai pe timpul atacului). Era un patch pentru kernel-ul linux, mai vechisor, care facea ca atunci cand cache-ul devine plin, sa se activeze automat cookie-s.
Pentru a activa syncookie-urile, executati comanda:
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
si editati /etc/sysctl.conf, adica, decomentati linia
#net.ipv4.tcp_syncookies = 1
astfel ca ea sa arate asa:
net.ipv4.tcp_syncookies = 1
si reporniti reteaua (in Debian, Ubuntu…):
# /etc/init.d/networking restart