code red [was hosts.deny]

[Pavel Kankovsky]

On Mon, 26 May 2003, Milan Kerslager wrote:

> Zda se ovsem, ze nektere mohutne scany mohou snadno zpusobit DoS,
> pokud pouzivate stavovy firewall pomoci ip_conntrack).

To sice muzou, ale nejdriv se do toho conntracku musi dostat.
Pokud prislusne pakety vcas zahodim, pak by k tomu dojit nemelo.
Problem je "akorat" v tom, ze conntrack ma tak vysokou prioritu,
ze se normalnimi prostredky neda dosahnout toho, aby se pred nej
neco vlezlo. Coz je svym zpusobem chyba.

Jinak pokud si nekdo muze dovolit prijmout par paketu navic, pak je lepsi
pakety od takoveho otravneho uzlu hazet do cerne diry (cili ne REJECT ale
DROP), protoze pak ten otrava bude mit mnohem vic prace, nez mu dojde, ze 
se spojeni asi opravdu navazat nepodari. I kdyz tedy vubec nejlepsi je
takova ta technika, co ji ted nemuzu prijit na jmeno, ze server predstira 
ze se jako spojeni uspesne otevrelo, ale pak vsechno hazi do cerne diry
(pripadne to jen tak na oko obcas potrvdi), protoze tim donuti toho 
otravu, aby vyplytval co nejvic sve energie.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."