OT:SYN FLOODING

[Martin Mačok]

On Wed, Dec 06, 2000 at 04:48:51PM +0100, Igor Bujna wrote:
> Dec  6 14:51:24 ns portsentry[802]: attackalert: Host: 
> uxzero.zero.cz/212.96.167.1 is already blocked Ignoring
> Dec  6 14:51:31 ns portsentry[802]: attackalert: SYN/Normal scan 
> from host: www.iftprogres.cz/212.19.59.11 to TCP port: 143
> Dec  6 14:51:31 ns portsentry[802]: attackalert: Host 212.19.59.11 
> has been blocked via wrappers with string: "ALL: 212.19.59.11"
> Dec  6 14:51:31 ns portsentry[802]: attackalert: Host 212.19.59.11 
> has been blocked via dropped route using command: "/sbin/route 
> add -host 212.19.59.11 reject"
> -----------------------------------------------------------------------------------------
> 
> Chtel jsem se zeptat , jak se resi tyto veci, nebo jestli existuje 
> nekde odkaz na internetu , jak tyto zalezitosti resit.
> Nejedna se mi blokace nebo nastaveni firewalu(mozna i toto by 
> nebylo na skodu), ale treba o nejakou pravni cestu, nebo neco 
> podobnyho.

Scanovani je LEGALNI a legitimni.

1) Kazdy ma pravo scan provest a kazdy administrator ma pravo na takovy
scan jakkoliv reagovat. Na obojim neni nic spatneho ani neslusneho.

2) Kazdy administrator se muze (a mel by) takovymto scanum PREVENTIVNE
branit.

3) Zadny administrator (obecne) nemuze prokazat, z jakeho zdroje byl scan
proveden (a kym).

4) Je nesmysl takovyto scan povazovat za potencialni prunik do systemu.
Pokud ma administrator strach jiz z pouheho zjisteni, ze na 'nej' byl
proveden scan, chyba je nekde jinde ...

Preji hezky den

-- 
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 > 
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///