| |
| 2.2, Ezhik (?), 15:19, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
ну, например, если тебя кто то сканирует, то он увидит себя | | |
| |
| 3.3, DEC (ok), 15:41, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
IMHO не совсем так. Пакеты предназначенные тебе, ты отошлёшь назад, но это будут не ответы на попытку скана, а непосредственно попытка скана...
Я так и не понял нафига это надо... | | |
| |
| 4.4, Ezhik (?), 15:44, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Попробуй проверить это на практике. "Непосредственная попытка скана" , c одним но - сканирующий просканирует порты на своей машине, а не на твоей. | | |
| |
| 5.7, DEC (ok), 16:41, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
Проверить на практике не могу, не юзаю я линукс. Но хотелось бы понять как это можно использовать.
Хорошо, допустим сканирующий засылает тебе TCP/SYN ты зеркалишь этот пакет обратно, теперь к нему приходит TCP/SYN, его комп (в идеале) отвечает тебе, что порт недоступен. Но на тот порт, который его nmap держит открытым и ждёт ответа - ответ не приходит.
Может я чего-то не понимаю?
----- сканирующий просканирует порты на своей машине, а не на твоей ------
вот в это мне, не верится, попахивает фантастикой. | | |
| |
| 6.8, Ezhik (?), 17:27, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
ответ уходит с той же пары s-port d-port и возвращается на туже пару s-port d-port - так что nmap какой нужно ответ получит :-)
зы если не уменьшать ttl будет обычный dos - одна из основный причин, по которой этот модуль был исключен из ядра | | |
| 6.9, sash (??), 18:12, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Не понимаешь по видимому.
ipt_MIRROR, заменяет адреса в IP-пакетах. На уровне ТСР происходит следующее:
К нам приходит SYN, допустим SYN:10001(порт)-->80.
Если порт 80 закрыт:
К нам SYN, от нас SYN на 80-й отправителя, от него либо ничего не приходит (таймаут) либо приходит ICMP-unreachable. Если ICMP-unreachable он отражается в сторону отправителя. По этим признакам отправитель решает что порт закрыт.
Порт 80 открыт:
SYN-->SYN/ACK-->ACK. Каждый пакет попросту отражается в сторону отправителя, и не имеет значения с какого порта устанавливается соединение, ведь в пакете однозначно указаны tcp_sport и tcp_dport, и отправитель их воспринимает однозначно. | | |
| 6.10, sash (??), 18:14, 04/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Да и еще.
Это очень простой путь вместо "прикола" нажить себе огромную дыру для дос.
Атакуещему достаточно заполнить твой канал наполовину, пакетами которые попадают под -j MIRROR | | |
| |
| 7.11, dimus (??), 07:44, 05/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
 Вообще-то если атакующий сможет заполнить твой канал наполовину - это мало не покажется в любом случае, однако замечание конечно оченоь правильное.
Я думаю, что тут надо с умом действовать (например автоматически заменять правило на DROP в случае обнаружения DoS атаки) - зато как приятно, если вместо твоей машины пионэр начнет взламывать свою собственную :) Естественно, что такой способ прокатит только против некомпетентного человека - благо, что благодаря стараниям журнала "Ламер" их сейчас развелось немало. | | |
| 7.13, _Nick_ (??), 01:09, 06/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
а пингами если он его заполнит наполовину?? та же колбаса.
ответы то ты шлешь по-любому (мы не параноики блдшники - ICMP не фаерволим и чесно отвечаем, без особенных нужд).
Так что хоть ЗЕРКАЛО, хоть простой пинг.
Можешь загрузить чужой канал наполовину - все. тут даже "-s <DOSSER> -j DROP" не поможет | | |
| |
| 8.15, dimus (??), 07:53, 06/10/2005 [^] [^^] [^^^] [ответить] | +/– |  Вообще против любителей флуда есть классное правило в iptables - называется limi... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.5, Аноним (1), 16:20, 04/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает. | | |
| |
| 2.14, _Nick_ (??), 01:12, 06/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит
>по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.
>
Double Dos будет.
Либо все упрется в ширину канала, либо в скорость одной из тачек (ну врядли в нащ то век Гигагерцов... ;))
так что дос обоим обеспечен в таком случае | | |
|
| 1.6, dimus (??), 16:23, 04/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Прикольно посадить цель на отдельные порты - можно конкретно поиздеваться над пионэрами :) | | |
| 1.17, forge (??), 07:45, 08/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Ура! Наконец-то. Я как только не пытался его вживить в 2.6.x, все-равно имплантация не удавалась, а здесь :). | | |
|
