Zakazany ping?
Jan Kasprzak
kas at informatics.muni.cz
Fri Aug 16 10:26:27 CEST 2002
"KIE" wrote:
: > Nemusi jit jen o zahlceni site, ale i o zatez stroje, ktery ty
: > pozadavky musi zpracovavat. Nemluve o tom, ze i zatez site je vyssi,
: > pokud se paket nezahodi, ale posle se na nej odpoved. Dalsim duvodem
: > muze byt snaha vyhnout se automatizovanym scanum. Taky treba neucast na
: > DDoS. Je jasne, ze pokud se nekdo zameri primo konkretne na muj stroj,
: > tak mi vypnuty ping nepomuze. Ale muze me skryt pred plosnym scanem.
:
: Nehlede na fakt, ze to muze stopit jiz firewall, ktery by stal pred samotnym
: serverem se sluzbami a nezabyval by se nicim jinym nez zahazovanim
: nepohodlnych paketu.
: Btw myslim, ze u serveru na kterem je hodne domen a pinga na nej z ruznych
: duvodu hodne lidi ta zatez muze byt poznat.
Tak moment. Mam dojem, ze jsme se bavili o bezpecnostnim riziku
ICMP echo. I nadale tvrdim, ze je nulove nebo temer nulove. ICMP echo
samozrejme muzu omezit na nekolik malo packetu za jednotku casu, takze
ani odpovidani na ne me a moji sit nijak zvlast nezatizi (tedy ne radove
vic nez zahazovani celeho ICMP).
Plosny scan na ICMP vam prece nevadi, stejne mate dle RFC1912
vsechny sve pocitace s verejnymi IP adresami zavedene v DNS, ze ano?
A scan na jednotlive sluzby (o ktery jediny pri utoku jde) muzete omezit
na packetovem filtru pred svoji DMZ.
Neucast na DDoS je asi jediny aspon trochu platny argument,
ale zase se tohle da omezit rate-limitem na ICMP (nebo na jednotlive ICMP
typy).
-Y.
--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz> http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz 0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\ Czech Linux Homepage: http://www.linux.cz/ ///
\\\\ If you hold a Unix shell to your ear, do you hear the C? ////
More information about the net
mailing list