OT:SYN FLOODING

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Čtvrtek Prosinec 7 13:43:40 CET 2000 

> >         Ja se domnivam, ze kdo chce (resp. ma znalosti, zkusenosti, vi
> > do
> > nejmensich detailu a nuanci vse okolo), v soucasne dobe se dostane do
> > uplne vsech sitove komunikujicich pocitacu, absolutni obrana a
> > bezpecnost, jak nekdy nekdo hlasa je pitomost... (opravdu jsem se bavil
> 
> No tak toto je podla mna dost nepodlozene tvrdenie. A naviac nepresne.
> Dost zalezi aj na sluzbach. Darmo budem mat bezpecny system ked tam
> bude bezat deravy daemon a pod.

1. Pisu domnivam se, nikoli tvrdim (a svuj nazor nikomu nevnucuji, ale
rovnez nejsem povinen ho vysvetlovat ani dokazovat - prokazte (dokazte)
opak a ja se pridam na Vasi stranu)
2. Pisu 'sitove komunikujicich pocitacu' - chyba muze byt od firmware,
pres implementace protokolu az po daemony a aplikace, ve svem dusledku
je uplne jedno kde nastalo pochybeni ci opomenuti, proste system je
napadnutelny, zneuzitelny pripadne je mozno ho znepristupnit (v
komercnim svete je casto jedno, ktera varianta nastala, vsechny
znamenaji financni (casto nemale) ztraty).

	Reknu to jinak, IP protokol jako takovy nam tu beha jiz vice jak 20
let, porad pohoda, furt dobre, koncem 80. let tusim, ze se pan jmenuje
Jakobson ci podobne, se prislo na nejaka efektivni vylepseni pri
komunikaci, routovani apod., proste se vice zoptimalizovalo, ale stale
se jelo v podstate na starych implementacich... Na konci 90. let mame
vyrazne problemy - TCP/IP stack, Floodovani, Morphing, DoS, DDoS a co ja
vim jak se vsechny utoky pojmenovaly...
	Vim, ze nektere typy 'utoku' nelze odstranit, protoze nelze rozumne
rozeznat zaskodnika pred chtivym uzivatelem, nicmene jine jsou evidentne
opomenutim ci castecne zanedbanou implementaci (to neni problem jen MS,
ale daleko drive i jinych firem). Ne nadarmo je vedni disciplina zvana
Protokolove inzenyrstvi, kolik z Vas ale o ni v zivote slyselo...
pravda, teoretici si neco masti, kazdy je nechava v koutecku, s realnym
svetem nemaji 'skoro zadne spojeni', ale oni casto prijdou na mnoho
zajimavych veci, casto systematicky prokazi, ze prave ten nepodstatny
aspekt, ktery by se v komernim vyvoji a implementaci zanedbal jako
naprosto nepodstatny, muze mit nedozirne nasledky apod.

	Zrovna ted jsem resil problem casu na pocitaci (resp. casova zona
klienta) a na serveru - problem s expiracemi platebnich karet... - na
zemi neni jednotny cas (bohuzel ani elektronicky) a ja mam kreditku
majici expiraci 30.6.2001 00:00am. Fine, u mne je 30.6.2001 15:00,
bohuzel nakupuji na serveru, kde je jiz lokalni cas 1.7.2001 1:00am.
Server korektne dle svych nejlepsich vlastnosti kreditku odmitne,
protoze je prosla, ale je skutecne prosla? Zrovna ted v jedne komercni
implementaci plateb zrovna tento pripad mam 'prikaz' zanedbat jako
nepostatny, ale je skutecne v Internetovych systemech zanedbatelny?
Usudek si provedte sami....

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux