OT:SYN FLOODING

Pavel Urban urbanp na mlp.cz
Čtvrtek Prosinec 7 11:39:32 CET 2000


Milan Kerslager wrote:
> 
> On Wed, 6 Dec 2000, Martin Mačok wrote:
> 
> > On Wed, Dec 06, 2000 at 04:48:51PM +0100, Igor Bujna wrote:
> [...]
> > > Chtel jsem se zeptat , jak se resi tyto veci, nebo jestli existuje
> > > nekde odkaz na internetu , jak tyto zalezitosti resit.
> > > Nejedna se mi blokace nebo nastaveni firewalu(mozna i toto by
> > > nebylo na skodu), ale treba o nejakou pravni cestu, nebo neco
> > > podobnyho.
> >
> > Scanovani je LEGALNI a legitimni.
> 
> No, zrovna tady ted resim pripad, kdy si nejaky (idiot) stezoval na CZNICu
> a u majitele rozsahu nasich IP adres (tj. providerovi), ze je nekdo
> scannoval z nasi site. Prisel automaticky generovany mail s jedinym
> zaznamem. Situace se vyvijela tak, ze mi napsali z toho CZNICu i od
> providera, ze to mam vyresit pak je informovat. Ja jsem si dovolil tomu
> cloveku u providera napsat, ze pri chuzi po ulici se taky koukam do cizich
> oken a hned me za to nesbali policatj a neodvede k vyslechu. Rozumna rec s
> nim nebyla (odmitnul o tom diskutovat).
> 
> Me se na tom nelibilo zejmena to, ze jsem jako admin nasi site nedostal od
> "napadnuteho" zadny mail a okamzite se obratil na nase "nadrizene". Asi si
> taky napisu skript a budu denne zaplavovat spravce top domen a majitele IP
> trid minimalne desitkou stiznosti.

Vite, to je trochu problem. Prdstavte si, ze mate log plny zaznamu o
tom, ze vam nekdo ocuchaval vsechny pocitace v domene na vsechny mozne
sluzby a kdyz zkusite treba traceroute nebo reverzni DNS lookup,
nedozvite se krome providera vubec nic. Pripadne mate stejne zkusenosti
jako ja - kazdou chvili vidite, ze vas scanuje pocitac z urcite domeny a
na vase maily nikdo nereaguje. Co pak? Nerikam ze to je zrovna vas
pripad, ale ja se s timhle setkavam denne a casem, kdyz na moje dotazy
pravidelne nikdo nereaguje, mi skoro prijde jednodussi dat Cc: na
providera. 

Ja osobne si nemyslim, ze portscan je totez co koukani do oken. Take se
spis klonim k tomu brani za kliku. Myslim si proto, ze je zcela
adekvatni dotycnemu cloveku sdelit, ze poslouchat neustale cvakani klik
po celem dome neni moje oblibena cinnost a at jde radeji jinam. Nebo mi
to snad chcete zakazovat? Ze je to zbytecne obtezovani? Ja si to
nemyslim... zatim. Jaky je vas nazor? (ted se obracim i na ostatni
ucastniky konference)

Take jsem se setkal s tim, ze jsem kontaktoval providera ze Saudske
Arabie (ktera ma bohuzel pridelene podobne adresove rozsahy jako nas
provider) a stezoval si, ze jeho zakaznici nas v prubehu cca tri mesicu
kazdy den scanuji. Tedy kazdy den cca 500 zaznamu, z ruznych IP, ale
vzdy pres stejneho providera. Jeho odpoved me privedla do stavu tezke
zachmurenosti. Sdelil mi, ze on nema pravo svym zakaznikum cokoliv
prikazovat. Ze mu to jejich soucasne zakony proste neumoznuji. Zije
totiz v zemi, kde mu na celnici zabavi objednanou odbornou literaturu s
tim, ze 'nevyhovuje oficialnimu nabozenstvi', beznym trestem je verejne
bicovani a tak podobne. Co potom?

Asi jsem se dostal trochu mimo puvodni tema, sorry. Ale pripadalo mi to
jako docela vhodne tema k dalsi diskusi.

> 
> Cele to povazuji za smesne krome toho, ze bych uvital, kdyby me ten
> dotycny informoval primo. Pak bych mohl proverit, jestli pocitac neni
> cracknuty.
> 
> > 1) Kazdy ma pravo scan provest a kazdy administrator ma pravo na takovy
> > scan jakkoliv reagovat. Na obojim neni nic spatneho ani neslusneho.

Souhlas. 

> >
> > 2) Kazdy administrator se muze (a mel by) takovymto scanum PREVENTIVNE
> > branit.

Branit se proti scanum nelze. Tak maximalne se da zaridit, aby statecny
pruzkumnik nasel jen sedou zed, pripadne byl na cas vysoupnut za branu.
Jenze tech zaznamu v logu se clovek nezbavi, protoze je potrebuje.

> >
> > 3) Zadny administrator (obecne) nemuze prokazat, z jakeho zdroje byl scan
> > proveden (a kym).

To nemuze. Ale tezko predpokladat, ze clovek, ktery dela portscan,
nebude chtit videt vysledky (takze IP spoofing sice mozny je, ale pokud
vyloucime variantu, ze nekdo chyta odpovedi po ceste, u portscanu se asi
neuplatni). Pokud na druhem konci traceroute najdu Linuxovy stroj, je
DOST pravdepodobne, ze je opravdu puvodcem. 

> >
> > 4) Je nesmysl takovyto scan povazovat za potencialni prunik do systemu.
> > Pokud ma administrator strach jiz z pouheho zjisteni, ze na 'nej' byl
> > proveden scan, chyba je nekde jinde ...

Strach snad ani ne. Spis je to opruz. A ja jsem pruden nerad.

A na zaver - samozrejme reakce by mela byt primerena. Stezovat si na
CZNICu s tim, ze na me byl proveden utok, je samozrejme blbost. Ale Cc:
na providera je podle me primerene.

> 

-- 
***********************************************************************
Pavel Urban (urbanp na mlp.cz)
MLP system disaster 
Mestska knihovna v Praze - Marianske nam. 1, 115 72 Praha 1, Ceska
republika, http://www.mlp.cz
***********************************************************************
   Vegetables should not operate electronic equipment.     
          Computer Stupidities, http://rinkworks.com/stupid/
***********************************************************************


Další informace o konferenci Linux