OT:SYN FLOODING

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Úterý Prosinec 12 08:58:58 CET 2000 

> >       Jiste, mame dig. podpisy (uz i v zakone, chicht), ale jejich vymeneni
> > byva _casto_ osobni - proc si myslite, ze musite pokazde do banky, kdyz
> > se vam rozpadne synchronizace, kdyz zadate o novy klic apod...?
> 
> Vy si chodite do banky vymenovat digitalni podpisy? Co je to za banku? ;)

	Napr. Komercni banka produkt M-Best. IPB Homebanking... vsude se slo
pro disketu s klicem, vlastnorucni (pisemny) podpis apod... - zlata
Expandia (jako jedinou pouzivam normalne, ostatni kolegove, firma...), i
kdyz i tam jsme podepisovali lejstra a klic jsme dostali natvrdo => v
bance ho nikdo negeneroval (nebo jo, ale primo do HW). U jinych bank
nevim... 

> > a ne vsechny protokoly jsou stavove, zamerne mluvim napr. o spouste
> > protokolu nad UDP (DNS zacinaje).
> 
> Jak to? Treba v DNS ma klient minimalne dva vyznamne stavy: "nic
> nedelam" a "dotaz na server odeslan, cekam na odpoved".
	
	Klient ano, ale po vyslani houfu dotazu (dobre se to sledovalo kdysi na
dial-on demand pripojeni) ceka, ze mu 'snad' neco odpovi, je sice
stavovy, ale rekneme tedy bezkontextovy - 'ne' kontextem je mysleno to,
ze vysle radu otazek a je mu putna zda-li mu (vubec nekdo) odpovi...

> mnohem zakernejsich, nez tahle (co treba trojan, ktery se nalepi vedle
> FTP na port 21?...nebudu rikat jak, pokud si to nedovedete predstavit,
> tak si nezaslouzite to vedet ;>) To, ze se nekdo napichne na port 58543

	:) ja si myslim, ze toto uz je daleko jednodussi cast reseni,
slozitejsi je zjistit, co na druhe strane bezi a jak se tam dostat...

> lze snadnou zjistit, kdyz budete ten svuj system taky trochu hlidat.
> Slysel jste o programu lsof?

	jiste... lsof pouzivam docela casto (ze by paranoia:-)))

> Vzdycky je jednodussi vymyslet tisic duvodu, proc neco nejde, nez jeden
> zpusob, jak to realizovat. :)

	Pokud je aspon jeden relevantni duvod, jak to jde pomerne jednoduse
obejit, pak vynalozena namaha je k nicemu...

> >       Tady budu oponovat tim, co mi jeste pred 2 lety (a co jsem mel tvrdit u
> > statnic) lili do hlavy (a prave jsem to konzultoval s kolegou Ing. teze
> > skoly - VUT FEI VTI Brno pro presnost) a opet musim konstatovat, ze je
> > teze, ze neexistuje mocnejsi matematicky prostredek nez TS...
> 
> <joke> Inzenyri dokazuji, ze vsechna licha cisla vetsi nez jsou prvocisla.
> 3 je prvocislo, 5 taky, 7 jakbysmet. Tak zkusime nejake vetsi, treba 17.
> To je take prvocislo. QED. Vsechna licha cisla vetsi nez 1 jsou prvocisla.
> </joke>

	Po soukrome konzultaci s kolegou Mackem jsem dospel k nazoru, ze na VTI
u nas jeste o TS s orakulem neslyseli nasi pani profesori (a schvalne
jsem to konzultoval se 2 dalsimi lidmi z byvaleho rocniku a nadrocniku,
abych mel jistotu, ze se to nevyparilo mne z hlavy).

> Pouziti TCP v nejhorsim pripade znamena oproti UDP rezii asi dvou
> prakticky prazdnych datagramu kazdym smerem navic, coz je v praxi mozna
> neco jako 2*(60+60+20) = 280 bajtu navic. Jestli ma nekdo lepsi odhad, je
> vitan. To narust je, ale v praxi sotva vetsi nez 10-20 procentni (i
> v pripade kratkeho dotazu a kratke odpovedi to je stezi 50 %). To, co u
> TCP v praxi spis vadi, je znatelne zvyseni latence.

	Latence je nekdy hrozna. Ja si spise myslim, ze ten narust o 280 bajtu,
kdyz odpoved (nikoli v pripade HEAD) muze byt jen par bajtu je opravdu
hodne vysoka rezie... i u DNS byste radeji mel jistotu, ze odpoved
dorazi z prvniho vybraneho.

	Ona ta rezie TCP nemusi byt na prvni pohled velika, ale ucastnil jsem
se jednoho opravdu velkeho projektu, kde se se sondami v technologickych
procesech komunikovalo pres TCP, rezie protokolu byla takova, ze se to
muselo preimplementovat na UDP prave z duvodu rezie (takze i tech
'zanedbatelnych' 280 bytes je podstatnych). To je jen poznamka z praxe,
komentovat vice to asi nema smysl.

> > pomeru Entropie/ informace)
> Nebo jste mel entropii na mysli rezii protokolu?

	Myslel jsem nejen rezii, ale i mnozstvi informace, ktere jsem opravdu
zadal a potrebuji (priklad s HEAD - potrebuju vedet pouze Size, dojde mi
cela odpoved, Etropie v tomto pripade tedy neni jen rezie protokolu TCP,
ale i vsechny nadbytecne informace z hlavicky HTTP).

> hodi lepe. U nespojovaneho protokolu musite provadet osklive kejkle,
> kdybyste nahodou chtel nejakeho klienta obslouzit extra procesem.

	Interprocess communication by nestacil - to prece neni cerna
magie...;-) a ze tech prostredku v UNIXech mame (dokonce i dle POSIXu)

> dobre? Chci-li svoji kopii nejakeho dokumentu udrzovat aktualni, tak od
> toho mam Expires a If-Modified-Since. A to, ze bych v hodine H1 zjistil,
> ze je to neaktualni, a v hodine H2, H2 >> H1 to teprve pretahoval s tim,
> ze mezitim to budu nejak ignorovat, mi pripada ponekud divne.

	Muj priklad s inteligentnejsim vyhledavacem Vas neuspokojil? Uvedomte
si, ze v pripade velke baze znalosti jeji aktualizace nemusi byt v
jednotkach sekund a tim padem vzdy pracuji bud s chybou nebo velmi
jednoduse oznacuji co je aktualni a vybiram pouze z relevantni mnoziny
(jeee zase mnoziny...:))

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux