Nová zranitelnost operačních systému Windows

Diskuze čtenářů k článku

Fireman  |  29. 11. 2005 12:37  | 

Hm tento typ utoku nepatri ezi ty jedodussi ale asi nebude trvat dlouho a objevi se nastroje ktere to udelaji za "nas" (pokud uz se tak nestalo).
Ale velkym mnozstvim SYN lze zpusobit i jiny DoS utok a nebo znepristupnit dostupnost sluzby pres TCP/IP. A to tzv SYN FLOOD utokem, kdy je zaslano velke mnozstvi SYN (TCP paket s pozadavkem na otevreni spojeni) paketu. Vyhoda tohoto utoku je ze se lze proti nemu jen velice tezko branit a je obtizne detekovatelny skutecny utocnik. Nevyhodou pak je ta ze utocnik musi utocit tak dlouho dokud chce drzet sluzbu nedostupnou. Cely tento utok spociva v tom ze server pozadame o tolik spojeni az uz dalsi nebude mozne obslouzit (ve skutecnosti vsak pozadavek na spojeni nikdy nedokoncime a server tak nejakou dobu ceka nez ho dokoncime a tim si zabira pamet). V paketu lze podvrhnout i IP odesilatele pozadavku, takze po nas neni zadna stopa. Obrana je jednoducha, omezeni maximalniho poctu ne uplne otevrenych spojeni, nicmene tim utocnikovi nahravame opet, protoze pak staci dojit pouze do teto urovne a serrver sice nezahltime nicmene znepristupnime "vsechny okna a dvere" pro vstup k sitove sluzbe. A tak se ostatni klienti opet nepripoji, nebo jen obtizne pripoji...
Ovsem tato chyba je zpusobena spatnym navrhem a spis samotnym principem fungovani TCP/IP protokolu nez samotnym operacnim systemem.... kdezto chyba v SynAttackProtect funkci je zpusobena chybou samotneho OS

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  29. 11. 2005 12:43  | 

jj, brani se tomu nelehce, pokud na me prijde vic, jak 4 SYN pakety za sec. zahazuji je, nejdrive jsem mel v umyslu je vracet, ale tim bych mohl zafloodovat nevinneho, pokud by byla IP podvrzena

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mickey  |  29. 11. 2005 12:51  | 

myslite neco jako:

$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -! syn-flood -j DROP

Ano, to je opravdu extremne slozita obrana

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mickey  |  29. 11. 2005 12:53  | 

omlouvam se, misto:

$IPTABLES -! syn-flood -j DROP

patri:

$IPTABLES -A syn-flood -j DROP

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  29. 11. 2005 12:55  | 

neco takovyho, znate neco lepsiho?

Souhlasím  |  Nesouhlasím  |  Odpovědět
michich, michich  |  29. 11. 2005 14:30  | 

Ano. Cokoliv je lepsi nez toto "reseni". Timto utok jeste vyrazne usnadnis.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  29. 11. 2005 16:07  | 

muzes uvest priklad? mam pocit, ze jen placas blbosti..

Souhlasím  |  Nesouhlasím  |  Odpovědět
michich, michich  |  29. 11. 2005 17:18  | 

Tak mi teda vysvetli, jak si rate-limitovanim SYN paketu pomuzes. Budes zahazovat nejen SYN pakety utocnika (tech bude behem utoku vetsina), ale take SYN pakety regulernich uzivatelu. A navic tech paketu utocnikovi k vyvolani DoS situace ted staci jeste mene...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  29. 11. 2005 22:30  | 

mno asi mas pravdu, ale radsi budu zahazovat pakety, nez kdyby dana sluba mela byt odstrelena, na vyzirani sys prostredku, ci zaplacavani diskoveho prostoru, nekonecnym logem, 0B nemaji rady ani ostatni sluzby co chteji logovat. Takze kdyz nemohu zabranit zaplave paketu, tak se alespon trochu snazim chranit svoje sluzby, jeste je sance, ze utocnim ma uzsi hrdlo do Inetu nez ja a pak se sic s obtizemi muze ke me protlacit i nekdo jiny.
Kdyz si teda zrovna nehraje s DDoS.

Souhlasím  |  Nesouhlasím  |  Odpovědět
mepp  |  29. 11. 2005 17:15  | 

rovnou aby IDSka to zahazoval , ani tisice TCP SYN/FIN Paceketu apod za sekundu te neshodi pokud pouzivas trochu profesionalni hw...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Fireman  |  29. 11. 2005 13:02  | 

jojo jenze zkuste neco podobneho aplikovat na velkych serverech kde jsou ty pakety v radech stovek za sekundu...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Kocour  |  29. 11. 2005 12:46  | 

Fireman: primlouvam se at dostanete polovinu honorare za tento clanek!

Souhlasím  |  Nesouhlasím  |  Odpovědět
SufuS MaximuS  |  29. 11. 2005 12:52  | 

Souhlas

Souhlasím  |  Nesouhlasím  |  Odpovědět
michich, michich  |  29. 11. 2005 13:08  | 

Nesouhlas. Obrana proti SYN flood utoku je jasna: SYN cookies.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jirka  |  29. 11. 2005 17:34  | 

Windows 2003 SP1

Souhlasím  |  Nesouhlasím  |  Odpovědět
tulpik  |  29. 11. 2005 18:46  | 

Sou sracka...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr  |  29. 11. 2005 19:53  | 

Ach jo, to je zase debata na úrovni. Nechceš to napsat ještě větším písmem?

Souhlasím  |  Nesouhlasím  |  Odpovědět
tulpik  |  01. 12. 2005 09:42  | 

Klidne, kdyz o to tak stojis Vole

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jarda  |  02. 12. 2005 10:14  | 

Protože se mluví o serverovém problému, je všem, kdo o problému něco ví, jasné, že se nejedná o desktopový OS, ale o Windows Server  2000   a   2003  s patřičnými SP. Pokud nevíš, co to Windows Server je, tak drž klapačku a neskákej do hovoru, když se baví dospělí...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky