Treason uncloaked - utok??

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Pondělí Září 6 23:30:14 CEST 2004 

Jedna opozdena reakce...

On Wed, 25 Aug 2004, Zdik Kudrle wrote:

> Po hodince Googlovani jsem zjistil, co to ve skutecnosti znamena. Co
> jsem pochopil, jde o to, ze protejsi peer se snazi zmensit TCP/IP okno na
> 0, cimz se zacnou plnit kernel buffery na odesilatelovi (pokud se mylim,
> tak mne opravte). Nekdy se toto stava diky spatnemu (staremu) TCP/IP
> stacku na peerovi nebo pri spatnem shapingu. V nekterych postech o teto
> hlasce vsak byla naznacena moznost, ze by se takhle mohl podarit DoS utok.
> Mam takovy prihlouply pocit, ze ja jsem ten pripad. Nestalo se vam nekdy
> neco podobneho?

Kolik mate otevrenych spojeni? Kazde spojeni ma maximalni velikost
odesilacich bufferu (sysctl net.ipv4.tcp_wmem). Jsou to zakerne tri cisla, 
pricemz prvni je minimum, ktere dostane kazde spojeni, prostredni je 
default hodnota, a posledni je horni limit. Aktualni velikost prijimacich 
i vysilacich bufferu pro jednotliva spojeni ukazuje netstat (Recv-Q, 
Send-Q).

Navic existuje jeste globalni limit na buffery TCP (net.ipv4.tcp_mem,
pozor je to ve strankach!), ktery je by default na zhruba 3/4 RAM.


On Wed, 25 Aug 2004, Vladimir Dvorak wrote:

> Zmena velikosti okna je v Internetu zcela standardni jev, takze bych se 
> teto hlasky prilis neobaval; nehlede na to, ze u vaseho stroje dochazi k 
> nedostatku pameti, coz muze byt prave duvodem toho, ze peer snizuje 
> velikost tcp okna.

Doporucuji trochu lepe prostudovat fungovani TCP. Pokud nekdo zmensuje 
velikost okna, pak tak cini kvuli nedostatku vlastni pameti. Inzerovana 
velikost okna je totiz volna kapacita prijimacich bufferu (pote, co byl
prijat potvrzovany paket).

Pozorovany jev (treason uncloacked) souvisi s tim, kdyz druha strana
posle potvrzeni pro N s velikosti okna W a pak potvrzeni pro N+delta
s W', pricemz W' < W-delta. Podraz spociva v tom, ze nejdriv tvrdi,
ze je k dispozici W volnych bajtu, ale po prijeti delta dalsich bajtu
tvrdi, ze se volne misto zmensilo o vice nez delta.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux