presmerovani v Apache/mod_perlu
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Březen 6 20:03:30 CET 2005
On Sun, 6 Mar 2005, Petr Vileta wrote:
> Mam Apache 1.3.23 a skutecne umi jen HEAD, GET a POST. CONNECT by umet
> nemel, protoze mod_proxy je v konfiguraku dusledne zakomentovane, ale z
> neznameho duvodu se to chova jako GET.
To je dost podivne, protoze by pri pozadavku s neznamou, nepodporovanou ci
nepovolenou metodou mel server vratit nejakou chybu (ted z rukavu nevysypu
jakou). Jsem si temer jisty, ze Apache to tak od prirody dela. Nemate ho
nejak divne nakonfigurovany?
On Sun, 6 Mar 2005, Petr Vileta wrote:
> > A zuby si umite vycistit sam?
> Jiste! Kdyz si prectu navod ... :-)
Vy jste dostal zuby s navodem? ;)
> Ja bych rad pachatele techto pristupu nejak odradil od dalsich pokusu.
> Otazka je, jaka je nejvhodnejsi cesta.
Nejucinnejsi cesta obnasi pouziti zbrani hromadneho niceni. Treba takova
megatunova atomovka odpalena ve stratosfere... Ale pro nas, co nemame
zname v Ustrednim vyboru Komunisticke strany KLDR ci na jinych podobnych
mistech, je to ale ponekud obtizne realizovatelne. (I kdyz s poradne
tlustym uplinkem byste mohl aspon, obrazne receno, opetovat palbu a pri
dostatecne prevaze palebne sily dosahnout aspon kratkodobe podobnych
ucinku jako s tou atomovkou.)
Jako dobry napad by se na prvni pohled mohlo jevit odpovidat chybou, ktera
bude jasne rikat, ze neco takoveho vubec neumite, ale to vezmou na vedomi
jen ti intelegentnejsi a za kazdym trochu inteligentnejsim stejne stoji 99
uplnych debilu, kteri si to budou chtit vyzkouset taky.
Coz zaroven rika i neco o tom, jak ucinne je zakazovat IP adresy. Pokud to
neudelate dost rychle, pak je docela dobre mozne a pravdepodobne, ze tu
adresu zakazete, ale pak z ni dalsiho pul roku stejne neprijde ani jediny
paket, zato prijde tisic pokusu z uplne jinych adres.
Trochu ucinne by mozna jeste bylo pouziti nejake zdrzovaci taktiky, kdy
utocnika vmanipulujte do toho, aby vynalozil vetsi mnozstvi energie nez je
obvykle, napr. tak, ze se budete tvarit, ze to funguje, ale strasne
pomalu. Na urovni TCP tohle dela treba modul TARPIT do iptables (ale jsou
to takove zavody ve zbrojeni, nejmenovany kolega nedavno treba Nmap
naucil, jak tarpitting, zejmena ve forme, jak ho dela jmenovany modul,
rozeznat a adaptovat se na nej), neco podobneho do Apache by se mozna take
dalo sehnat, nebo vyrobit. Dalsim pokusum to asi nezabrani, ale aspon
budete moci mit skodolibou radost z toho, jak se blbecci strasne snazi a
jak jim je to houby platne.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux