OT:SYN FLOODING

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Čtvrtek Prosinec 7 23:57:06 CET 2000 

On Wed, 6 Dec 2000, Milan Kerslager wrote:

> No, zrovna tady ted resim pripad, kdy si nejaky (idiot) stezoval na
> CZNICu a u majitele rozsahu nasich IP adres (tj. providerovi), ze je
> nekdo scannoval z nasi site...

Podle toho, jake mame zkusenosti s vasi siti (mluvime o
*.spsselib.hiedu.cz?) my tady, tak si ani nebudu snazit nekde
stezovat a rovnou tu vasi sit kompletne a dlouhodobe odfiltruju. :P


On Thu, 7 Dec 2000, Jaroslav Stribrsky wrote:

> ...Takze automaticky mi pri pokusu o spojeni na port 14000
> ten pocitac odriznul. Btw nevite jestli se da portsentry (v tomhle modu)
> nastavit tak, aby zareagovala treba az na pet (tri,dva,x) pokusu o
> otevreni portu ?

To by ale muselo pocitat pokusy na ruzne porty. Jinak by to bylo na houby,
protoze Wokna nikdy nezkouseji nic jen jednou, ale pokud mozno hned
desetkrat a kazdych pet sekund to opakuji (a cim vetsi je to kravina,
tim intenzivneji to zkouseji), zatimco normalni portscan olizne kazdy port
jen jednou.


On Thu, 7 Dec 2000, Pavel Urban wrote:

> Nejak si nevzpominam na chybu v TCP stacku, ktera by umoznila neco
> jineho nez DoS... muzete me prosim kdyztak nasmerovat?

Zrovna v Linuxu (do cca 2.0.36) bylo to, ze bylo mozno naslepo spoofovat
kratka TCP spojeni. Ostatne nedostatecne randomizovane generovani ISN,
ktere taky umoznuje blind spoofing, lze take povazovat za chybu
implementace a neni to nic neobvykleho (vetsina verzi Woken a prakticky
vsechna zarizeni, co jsou "Web-enabled", protoze je to ted velka moda).

> Mel byste kdyztak konkretni priklad obecne zneuzitelnosti takoveho
> stavu?

Treba to, ze kdyz ten firewall shodite parkrat po sobe, tak nejaky vysoce
postaveny luzer, co zrovna nalehave potrebuje brousit po siti, zaridi, ze
se firewall vyradi z provozu. ;)

> Ano, tak to taky znam ;-) Do sveho prvniho zamestnani jsem se uvedl tim,
> ze jsem si sednul k SGIcku a zjistil jsem, ze tam maji nejake demo konto
> bez hesla... tak jsem ho 'hacknul' ;-)

To neni chyba, v Irixu je to "feature". ;)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux