OT:SYN FLOODING
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Pondělí Prosinec 11 23:58:32 CET 2000
On Mon, 11 Dec 2000, Ing. Pavel PaJaSoft Janousek wrote:
> Jiste, mame dig. podpisy (uz i v zakone, chicht), ale jejich vymeneni
> byva _casto_ osobni - proc si myslite, ze musite pokazde do banky, kdyz
> se vam rozpadne synchronizace, kdyz zadate o novy klic apod...?
Vy si chodite do banky vymenovat digitalni podpisy? Co je to za banku? ;)
> A co vice - nmap hlasi open, ale kdyz tam date tcpd vrapper, stejne
> vite kulovy - to jste si toho vazne jeste nevsimli?;-)
Ja osobne spoustim nmap zasadne s -p1-65535 (mam-li dost casu), coz
znamena, ze nalezeni 20 otevrenych portu z 64k je velka pomoc i v pripade,
ze je 10 z nich zase "zavrenych" pomoci wrapperu nebo neceho podobneho,
coz ostatne vzapeti zjistim rucne.
> Temer pravda, pokud ovsem nemame exoticke protokoly, ktery pozaduje
> zakaznik jako NetMeeting, RealVideo, pasivni FTP apod... Bohuzel ne
> vsechna spojeni jsou iniciovana klientem
Hlavni problem je, ze ty protokoly nemaji jednotny ridici "metaprotokol",
ktery by umoznoval jejich genericky proxying bez toho, aby musel clovek
pro kazdy z nich naprogramovat extra program, typicky za pouziti tezce
proprietarnich informaci. Pro vyssi uroven bezpecnosti by pochopitelne
byly per-protokol proxy zadouci, ale lecky muze i genericka proxy
postacovat (kdyz muzu odvazne predpokladat, ze je koncovy bod komunikace
v chranene siti sam dost odolny).
> a ne vsechny protokoly jsou stavove, zamerne mluvim napr. o spouste
> protokolu nad UDP (DNS zacinaje).
Jak to? Treba v DNS ma klient minimalne dva vyznamne stavy: "nic
nedelam" a "dotaz na server odeslan, cekam na odpoved".
> Odmitam to z jednoho duvodu - obecne nemohu kernelu rici, tyto
> porty nepridel nikdy nekomu jinemu (pokud si neupravim jadro)... takze
> rekneme, ze porty 58000-59000 pridelm FTP, bohuzel nemohu zarucit, ze
> 58543 nebude FTP, ale nejaky trojan... - to je duvod, proc odmitam
> toto reseni - je polovicate a hasi dusledek, nikoli pricinu problemu.
A co? Kdyz uz nekdo na ten pocitac nainstaluje nejakeho trojskeho kone,
tak ma asi tak milion cest, jak s nim komunikovat, pricemz vetsina je
mnohem zakernejsich, nez tahle (co treba trojan, ktery se nalepi vedle
FTP na port 21?...nebudu rikat jak, pokud si to nedovedete predstavit,
tak si nezaslouzite to vedet ;>) To, ze se nekdo napichne na port 58543
lze snadnou zjistit, kdyz budete ten svuj system taky trochu hlidat.
Slysel jste o programu lsof?
> Nemozne...
Vzdycky je jednodussi vymyslet tisic duvodu, proc neco nejde, nez jeden
zpusob, jak to realizovat. :)
> Tim se dostavame k problemu, jak se autorizovat na firewall - tedy jak
> by mel FTPd prokazovat svou identitu...
Pomineme-li fakt, ze prokazovani identity neni autorizace ale autentizace,
tak se to da udelat mnoha ruznymi zpusoby. Pokud je to po siti, nebo
lokalne, ale bez podpory OS ("mily OS, rekni mi, kdo je na druhem konci
dratu"...tohle mimochodem Linux u unixovych socketu nejak celkem slusne
umi), tak nejlepe tak, ze jedna strana te druhe prokazuje znalost nejake
tajne informace (v lepsim pripade nejakou kryptografickou metodou). Viz
chyre knihy.
> Tady budu oponovat tim, co mi jeste pred 2 lety (a co jsem mel tvrdit u
> statnic) lili do hlavy (a prave jsem to konzultoval s kolegou Ing. teze
> skoly - VUT FEI VTI Brno pro presnost) a opet musim konstatovat, ze je
> teze, ze neexistuje mocnejsi matematicky prostredek nez TS...
<joke> Inzenyri dokazuji, ze vsechna licha cisla vetsi nez jsou prvocisla.
3 je prvocislo, 5 taky, 7 jakbysmet. Tak zkusime nejake vetsi, treba 17.
To je take prvocislo. QED. Vsechna licha cisla vetsi nez 1 jsou prvocisla.
</joke>
> Zalezi na prioritach, ja naopak za plytvani sys. zdroji povazuji
> vytvoreni stavoveho virt. kanalu (znacne nenazraneho co se tyce pasma a
Pouziti TCP v nejhorsim pripade znamena oproti UDP rezii asi dvou
prakticky prazdnych datagramu kazdym smerem navic, coz je v praxi mozna
neco jako 2*(60+60+20) = 280 bajtu navic. Jestli ma nekdo lepsi odhad, je
vitan. To narust je, ale v praxi sotva vetsi nez 10-20 procentni (i
v pripade kratkeho dotazu a kratke odpovedi to je stezi 50 %). To, co u
TCP v praxi spis vadi, je znatelne zvyseni latence.
> pomeru Entropie/ informace)
A to jsme vubec nemluvili o to, jaky to ma pomer jablek a hrusek! :)
Nebo jste mel entropii na mysli rezii protokolu?
> vytvoreni dalsiho syna (forkem ci jinym mechanismem) apod.
To zalezi na implementaci. Ovsem vyhodou TCP (a spojovaneho protokolu
obecne) je to, ze si snadno na strane serveru vyberete, ktery pristup se
hodi lepe. U nespojovaneho protokolu musite provadet osklive kejkle,
kdybyste nahodou chtel nejakeho klienta obslouzit extra procesem.
> Na pozadavek HEAD po UDP se da velmi jednoduse a rychle odpovedet
> pomoci jednoho UDP paketu s odpovedi a kontrolnim souctem.
To mozna ano, protoze typicka odpoved by se mohla do tech cca 500 bajtu
(coz je vhodna max. hodnota kvuli fragmentaci) vejit, ale k cemu to bude
dobre? Chci-li svoji kopii nejakeho dokumentu udrzovat aktualni, tak od
toho mam Expires a If-Modified-Since. A to, ze bych v hodine H1 zjistil,
ze je to neaktualni, a v hodine H2, H2 >> H1 to teprve pretahoval s tim,
ze mezitim to budu nejak ignorovat, mi pripada ponekud divne.
On Mon, 11 Dec 2000, Zdenek Wagner - Ustav chemickych procesu AV wrote:
> Nejde mi tak o know-how, ale treba je v mem skriptu chyba, kterou jsem si
> neuvedomil, a predanim informaci otevru moznost hackerum k utoku na muj
> pocitac...
Vetsina informaci se da zjistit i jinak, v nejhorsim pripade metodou pokus
omyl (obcas se da takto pristupovat i k problemu, ktery v pripade omylu
shodi cilovy system, protoze spravci vytrenovani modrou obrazkovkou takovy
system proste znovu nastartuji, aniz by se zajimali o to, proc sel do
kytek :P). Nejde tudiz o to, jestli to ucinite nemoznym, jako spis o to,
ze utocnika *zpomalite* a prinutite ho, aby pri sve navsteve delal vetsi
hluk, coz v lepsim pripade privola pozornost toho, kdo ma system hlidat.
(Je nicmene pravda, ze lehkou obfuskaci systemu navenek muzete nektere
blbouny odradit uplne, protoze kdyby se museli takovym systemem zabyvat
delsi dobu, pak by nesplnili tydenni plan poctu naborenych stroju a uz
by nebyly dost elitni. :>)
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux