OT:SYN FLOODING
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Prosinec 7 23:57:06 CET 2000
On Wed, 6 Dec 2000, Milan Kerslager wrote:
> No, zrovna tady ted resim pripad, kdy si nejaky (idiot) stezoval na
> CZNICu a u majitele rozsahu nasich IP adres (tj. providerovi), ze je
> nekdo scannoval z nasi site...
Podle toho, jake mame zkusenosti s vasi siti (mluvime o
*.spsselib.hiedu.cz?) my tady, tak si ani nebudu snazit nekde
stezovat a rovnou tu vasi sit kompletne a dlouhodobe odfiltruju. :P
On Thu, 7 Dec 2000, Jaroslav Stribrsky wrote:
> ...Takze automaticky mi pri pokusu o spojeni na port 14000
> ten pocitac odriznul. Btw nevite jestli se da portsentry (v tomhle modu)
> nastavit tak, aby zareagovala treba az na pet (tri,dva,x) pokusu o
> otevreni portu ?
To by ale muselo pocitat pokusy na ruzne porty. Jinak by to bylo na houby,
protoze Wokna nikdy nezkouseji nic jen jednou, ale pokud mozno hned
desetkrat a kazdych pet sekund to opakuji (a cim vetsi je to kravina,
tim intenzivneji to zkouseji), zatimco normalni portscan olizne kazdy port
jen jednou.
On Thu, 7 Dec 2000, Pavel Urban wrote:
> Nejak si nevzpominam na chybu v TCP stacku, ktera by umoznila neco
> jineho nez DoS... muzete me prosim kdyztak nasmerovat?
Zrovna v Linuxu (do cca 2.0.36) bylo to, ze bylo mozno naslepo spoofovat
kratka TCP spojeni. Ostatne nedostatecne randomizovane generovani ISN,
ktere taky umoznuje blind spoofing, lze take povazovat za chybu
implementace a neni to nic neobvykleho (vetsina verzi Woken a prakticky
vsechna zarizeni, co jsou "Web-enabled", protoze je to ted velka moda).
> Mel byste kdyztak konkretni priklad obecne zneuzitelnosti takoveho
> stavu?
Treba to, ze kdyz ten firewall shodite parkrat po sobe, tak nejaky vysoce
postaveny luzer, co zrovna nalehave potrebuje brousit po siti, zaridi, ze
se firewall vyradi z provozu. ;)
> Ano, tak to taky znam ;-) Do sveho prvniho zamestnani jsem se uvedl tim,
> ze jsem si sednul k SGIcku a zjistil jsem, ze tam maji nejake demo konto
> bez hesla... tak jsem ho 'hacknul' ;-)
To neni chyba, v Irixu je to "feature". ;)
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux