Zakazany ping?

ing.Naděžda Šimková simek at autosklo.cz
Thu Aug 29 10:58:01 CEST 2002 

-----Původní zpráva-----
Od: Jan Kasprzak <kas at informatics.muni.cz>
Komu: net at cs.felk.cvut.cz <net at cs.felk.cvut.cz>
Datum: 16. srpna 2002 10:27
Předmět: Re: Zakazany ping?


>"KIE" wrote:
>: > Nemusi jit jen o zahlceni site, ale i o zatez stroje, ktery ty
>: > pozadavky musi zpracovavat. Nemluve o tom, ze i zatez site je vyssi,
>: > pokud se paket nezahodi, ale posle se na nej odpoved. Dalsim duvodem
>: > muze byt snaha vyhnout se automatizovanym scanum. Taky treba neucast na
>: > DDoS. Je jasne, ze pokud se nekdo zameri primo konkretne na muj stroj,
>: > tak mi vypnuty ping nepomuze. Ale muze me skryt pred plosnym scanem.
>:
>:  Nehlede na fakt, ze to muze stopit jiz firewall, ktery by stal pred
samotnym
>:  serverem se sluzbami a nezabyval by se nicim jinym nez zahazovanim
>:  nepohodlnych paketu.
>:  Btw myslim, ze u serveru na kterem je hodne domen a pinga na nej z
ruznych
>:  duvodu hodne lidi ta zatez muze byt poznat.
>
> Tak moment. Mam dojem, ze jsme se bavili o bezpecnostnim riziku
>ICMP echo. I nadale tvrdim, ze je nulove nebo temer nulove. ICMP echo
>samozrejme muzu omezit na nekolik malo packetu za jednotku casu, takze
>ani odpovidani na ne me a moji sit nijak zvlast nezatizi (tedy ne radove
>vic nez zahazovani celeho ICMP).
>
> Plosny scan na ICMP vam prece nevadi, stejne mate dle RFC1912
>vsechny sve pocitace s verejnymi IP adresami zavedene v DNS, ze ano?
>A scan na jednotlive sluzby (o ktery jediny pri utoku jde) muzete omezit
>na packetovem filtru pred svoji DMZ.
>
> Neucast na DDoS je asi jediny aspon trochu platny argument,
>ale zase se tohle da omezit rate-limitem na ICMP (nebo na jednotlive ICMP
>typy).
>
>-Y.
>
>--
>\ Jan "Yenya" Kasprzak <kas at fi.muni.cz>
http://www.fi.muni.cz/~kas/
>\\ PGP: finger kas at aisa.fi.muni.cz   0D99A7FB206605D7 8B35FCDE05B18A5E
//
>\\\             Czech Linux Homepage:  http://www.linux.cz/
///
>\\\\     If you hold a Unix shell to your ear, do you hear the C?
////
>
>
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Dobr? den.doc
Type: application/msword
Size: 19456 bytes
Desc: not available
Url : http://lists.felk.cvut.cz/pipermail/net/attachments/20020829/ef50e03e/attachment.doc

More information about the net mailing list