IP / reverzni zaznamy

[Petr Koval]

Peter Surda wrote:

> On Sun, Jul 25, 2004 at 01:08:33AM +0000, Petr Koval wrote:
>> na bridgovanych sitich (poroz ne na switchovanych) dochazi poctem
>> ethernetovych "sdilencum" enormimu toku zbytecnym ARP requestum
> Podla mojich skusenosti je toto vacsinou sposobene infikovanymi pocitacmi
> (Blaster, Nachi, Sasser a dalsie), ktore sa snazia najst dalsie obete.
> Tieto posielaju ARP requesty vo frekvencii 10-100/sec. Riesenim je tieto
> cervy odstranit alebo odstranit tie pocitace.

Pokud se vstahnu pouze na tu pripominku v prvnim odstavci:
tezko odstranis fysicke jednotky s jednoho toho sameho ethernet seqmentu,
(napr. tak 50000 zakazniku na plose vice desitek km^2)

pokud uz je nejakemu providerovy router s mac a ip filtrem moc "nakladne"
pochybuji ze by nasadil o mnohe drazsi bridge s chopnostmi mac filteru
na jednotlivych portech. Takovy bridge by byl opet ve stavu funkce spravne
funkcniho switche. Tzn. jak s moznosti ARP cachovani jak i dynamickeho
filtrovani/oddelovani jednotlivych portu na ethernet levelu.
Pouzije-li se ale naopak routovani tzn. provozu pouze na IP levelu
mezi vice ethernet seqmenty, tato technicka narocnost odpada i kdyz
nastupuje narocnost jina a sice potreba pouziti routing administrace
pomoci dynamickych routing protokolu. Ja jsem se jednu dobu zabybal
moznostmi koordinace nekolika stovek takovych bridgu mezi sebou tak,
aby se chovyli vsechny pripoje vsech techto bridgu jako jena velka bridge,
a koordnace mezi temi bridgemi byla po separatnim ethernet segmentu pouze
pro tuto mezibridgni kommunikaci. Nuze se takovy bridgni system s temi
co provideri bezne pouzivaji (ty co se mezi sebou nijak nekoordinuji)
neda vubec srovnavat.

> Ako jednu z moznosti prevencie je mozne pouzit aktualnu verziu
> vulncheck.pl. Standalone verziu bohuzial momentalne nemam, trebalo by to
> prerobit (hardkodovane cesty a tak), ale mozes pouzit rovno celu moju
> distribuciu Route Hat:
> http://www.routehat.org/download/routehat-0.3.iso