Reakce na ICMP port unreachable (IRIX)
Matus UHLAR - fantomas
uhlar at fantomas.sk
Thu Oct 30 10:56:13 CET 2003
Dan Lukes <dan at obluda.cz> wrote:
> Matus UHLAR - fantomas wrote:
>>> Existuje totiz nazor zalozeny na RFC1122, ze PORT UNREACHABLE muze
>>>zasilat vyhradne cilovy stroj.
>>
>>
>> to vsak nic nemeni na tom, ze to PORT UNREACHABE moze prist a ked pride,
>> malo by sa spojenie prerusit.
>
> To bych si takhle autoritativne rici rozhodne nedovolil.
ja som to tvrdil len na zaklade vami spominaneho RFC, po upresneni pana
Chalupy to tam je napisane dokonnca dvakrat.
> Takove pakety lze, jak znamo, prili sjednoduse nafalsovat - a tak uvaha
> nad tim, zda na konkretni ICMP reagovat a jak je vic nez jen legitimni.
Ano, ale na to je predsa iny bezpecnostny mechanizmus - ICMP paket musi
obsahovat co najvacsiu cast paketu povodneho, reakciou na ktory bol
vyslany, a prijimajuci stroj si musi overit ci ten ICMP paket nie je
fejknuty.
TCP RST moze tiez poslat hocikto takze si ho musi TCP stack overit tiez :)
--
Matus UHLAR - fantomas, uhlar at fantomas.sk ; http://www.fantomas.sk/
Warning: I don't wish to receive e-mail advertising to this address.
Varovanie: Nezelam si na tuto adresu dostavat akukolvek reklamnu postu.
My mind is like a steel trap - rusty and illegal in 37 states.
More information about the net
mailing list