The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Модуль ipt_MIRROR для linux 2.6.xx"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от opennews on 04-Окт-05, 15:09 
Восстановлен модуль с целью MIRROR для netfilter, осуществляющий переотправку пакета поменяв местами адреса отправителя и получателя.  Этот модуль был официально исключен из ядра 2.6. Прежде чем использовать - желательно подумать зачем.

URL: http://www.ezh.msk.ru/source/ipt_MIRROR.tar.gz
Новость: http://www.opennet.me/opennews/art.shtml?num=6183

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Аноним email on 04-Окт-05, 15:09 
а зачем он  нужет ?  
Cообщить модератору | Наверх | ^

2. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Ezhik on 04-Окт-05, 15:19 
ну, например, если тебя кто то сканирует, то он увидит себя
Cообщить модератору | Наверх | ^

3. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от DEC (ok) on 04-Окт-05, 15:41 
IMHO не совсем так. Пакеты предназначенные тебе, ты отошлёшь назад, но это будут не ответы на попытку скана, а непосредственно попытка скана...
Я так и не понял нафига это надо...
Cообщить модератору | Наверх | ^

4. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Ezhik on 04-Окт-05, 15:44 
Попробуй проверить это на практике. "Непосредственная попытка скана" , c одним но - сканирующий просканирует порты на своей машине, а не на твоей.
Cообщить модератору | Наверх | ^

7. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от DEC (ok) on 04-Окт-05, 16:41 
Проверить на практике не могу, не юзаю я линукс. Но хотелось бы понять как это можно использовать.
Хорошо, допустим сканирующий засылает тебе TCP/SYN ты зеркалишь этот пакет обратно, теперь к нему приходит TCP/SYN, его комп (в идеале) отвечает тебе, что порт недоступен. Но на тот порт, который его nmap держит открытым и ждёт ответа - ответ не приходит.
Может я чего-то не понимаю?
----- сканирующий просканирует порты на своей машине, а не на твоей ------
вот в это мне, не верится, попахивает фантастикой.
Cообщить модератору | Наверх | ^

8. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Ezhik on 04-Окт-05, 17:27 
ответ уходит с той же пары s-port d-port и возвращается на туже пару s-port d-port - так что nmap какой нужно ответ получит :-)

зы если не уменьшать ttl будет обычный dos - одна из основный причин, по которой этот модуль был исключен из ядра

Cообщить модератору | Наверх | ^

9. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от sash (??) on 04-Окт-05, 18:12 
Не понимаешь по видимому.

ipt_MIRROR, заменяет адреса в IP-пакетах. На уровне ТСР происходит следующее:

К нам приходит SYN, допустим SYN:10001(порт)-->80.

Если порт 80 закрыт:
К нам SYN, от нас SYN на 80-й отправителя, от него либо ничего не приходит (таймаут) либо приходит ICMP-unreachable. Если ICMP-unreachable он отражается в сторону отправителя. По этим признакам отправитель решает что порт закрыт.

Порт 80 открыт:
SYN-->SYN/ACK-->ACK. Каждый пакет попросту отражается в сторону отправителя, и                                                                                                                                                           не имеет значения с какого порта устанавливается соединение, ведь в пакете однозначно указаны tcp_sport и tcp_dport, и отправитель их воспринимает однозначно.

Cообщить модератору | Наверх | ^

10. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от sash (??) on 04-Окт-05, 18:14 
Да и еще.

Это очень простой путь вместо "прикола" нажить себе огромную дыру для дос.

Атакуещему достаточно заполнить твой канал наполовину, пакетами которые попадают под -j MIRROR

Cообщить модератору | Наверх | ^

11. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от dimus email(??) on 05-Окт-05, 07:44 
Вообще-то если атакующий сможет заполнить твой канал наполовину - это мало не покажется в любом случае, однако замечание конечно оченоь правильное.
Я думаю, что тут надо с умом действовать (например автоматически заменять правило на DROP в случае обнаружения DoS атаки) - зато как приятно, если вместо твоей машины пионэр начнет взламывать свою собственную :) Естественно, что такой способ прокатит только против некомпетентного человека - благо, что благодаря стараниям журнала "Ламер" их сейчас развелось немало.
Cообщить модератору | Наверх | ^

13. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от _Nick_ (??) on 06-Окт-05, 01:09 
а пингами если он его заполнит наполовину?? та же колбаса.
ответы то ты шлешь по-любому (мы не параноики блдшники - ICMP не фаерволим и чесно отвечаем, без особенных нужд).
Так что хоть ЗЕРКАЛО, хоть простой пинг.

Можешь загрузить чужой канал наполовину - все. тут даже "-s <DOSSER> -j DROP" не поможет

Cообщить модератору | Наверх | ^

15. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от dimus email(??) on 06-Окт-05, 07:53 
Вообще против любителей флуда есть классное правило в iptables - называется limit и используется так:

# Разрешим прохождение 4 пакетов в секунду
$IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -m limit --limit 4/S --limit-burst 1 -j ACCEPT
# А все остальные пакеты запретим
$IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -j DROP

Хотя конечно и это никак не панацея - в конечном итоге все сводится к тому, у кого канал толще. Кстати, если у вас оплачивается входящий траффик, то флудер вас еще и делает существенно беднее.

Cообщить модератору | Наверх | ^

5. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Аноним email on 04-Окт-05, 16:20 
интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.
Cообщить модератору | Наверх | ^

14. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от _Nick_ (??) on 06-Окт-05, 01:12 
>интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит
>по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.
>

Double Dos будет.
Либо все упрется в ширину канала, либо в скорость одной из тачек (ну врядли в нащ то век Гигагерцов... ;))

так что дос обоим обеспечен в таком случае

Cообщить модератору | Наверх | ^

6. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от dimus email(??) on 04-Окт-05, 16:23 
Прикольно посадить цель на отдельные порты - можно конкретно поиздеваться над пионэрами :)
Cообщить модератору | Наверх | ^

17. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от forge email(??) on 08-Окт-05, 07:45 
Ура! Наконец-то. Я как только не пытался его вживить в 2.6.x, все-равно имплантация не удавалась, а здесь :).
Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру