Re: Apropo pakety

From: Kit (vpospichal@tiscali.cz)
Date: 17. 08. 2003, 10:32 CEST


On Sat, Aug 16, 2003 at 16:54:03 +0200, Pavel Trubl wrote:
> Kit wrote:
> >Ve většině případů je lepší ignorovat, tedy zahodit. Ovšem je několik
> 
> Proc je lepsi paket zahodit nez odmitnout? Jen to, ze se 'utocnik' 
> dozvi, ze dana IP existuje, protoze reaguje, mi neprijde jako nejaka 
> bezpecnostni slabina. Byt neviditelny je extra vyhoda. Pokud je fw dobre 
> nastaveny, neni duvod davat DROP namisto REJECT.
> P.

Výhoda je jinde: Když útočník nedostane odpověď do timeoutu, stornuje
socket a pokusí se navázat spojení na jiném portu (scan) nebo na jiné IP
(sweep). Když je tam DROP, udělá za hodinu méně pokusů, než při REJECT,
protože musí čekat na timeouty.

Pokud bys všechny pokusy o útok REJECToval, zatížíš si linku víc, než
při DROPu. Při asymetrickém spojení si tak můžeš udělat DoS. DROP je
v tomto případě také o něco odolnější proti SYN floodingu.

Pokud by příchozí pakety byly spoofované, REJECTem můžeš někomu způsobit
DoS.

Kit
-- 
Ing. Vlastimil Pospíchal
http://www.hoteldrnholec.cz



This archive was generated by hypermail 2.1.3 : 17. 08. 2003, 10:46 CEST