IP / reverzni zaznamy

Peter Surda shurdeek na routehat.org
Neděle Červenec 25 11:50:11 CEST 2004


On Sun, Jul 25, 2004 at 01:08:33AM +0000, Petr Koval wrote:
> na bridgovanych sitich (poroz ne na switchovanych) dochazi poctem
> ethernetovych "sdilencum" enormimu toku zbytecnym ARP requestum
Podla mojich skusenosti je toto vacsinou sposobene infikovanymi pocitacmi
(Blaster, Nachi, Sasser a dalsie), ktore sa snazia najst dalsie obete. Tieto
posielaju ARP requesty vo frekvencii 10-100/sec. Riesenim je tieto cervy
odstranit alebo odstranit tie pocitace.

Ako jednu z moznosti prevencie je mozne pouzit aktualnu verziu vulncheck.pl.
Standalone verziu bohuzial momentalne nemam, trebalo by to prerobit
(hardkodovane cesty a tak), ale mozes pouzit rovno celu moju distribuciu Route
Hat:
http://www.routehat.org/download/routehat-0.3.iso

Co to robi? Detekuje LMB/Host announcementy a tieto pocitace oskenuje, ci maju
nainstalovany "Sasser patch" (KB835732). Tie ktore nemaju, su informovane cez
WinPopup, ze maju navstivit http://windowsupdate.microsoft.com. Zoznam je
pristupny na www stranke (u RH je chranena heslom). Administrator si z casu na
cas moze ten zoznam pozriet, a ked niekto dlhsi cas neupdatuje, napriklad mu
rozmlatit pocitac.

Je to extremne nenarocne na CPU/pamat (na starom Pentiu nijake vyrazne
zatazenie nezbadas), aj na siet (~ 600b za hodinu na pocitac).

> napr. u 500 tedy 500x500 a u 10000 tedy 10000x10000
Podla mojich skusenosti ked odstanis tie cervy, tak to aj pri velkych sietiach
take hrozne nie je.

S pozdravom,

Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023

-- 
                Where do you think you're going today?


Další informace o konferenci Linux