Problem s broadcasty
Dan Lukes
dan at obluda.cz
Sun Apr 8 19:24:50 CEST 2007
Bc. Radek Krejca napsal/wrote, On 04/08/07 17:55:
> No, on se jedna o utok zevnitr, ale mam problem odchytit cloveka,
> ktery jej dela.
Zalezi na jake udaje se da spolehnout - a to zas zavisi jak je udelana
autentizace v te siti.
Pokud utocnik dokaze padelat vsechny zdrojove informace (jak IP na L3
vrstve tak MAC na L2 vrstve) pak jej skutecne dohledat mozne takrka neni.
To ti zbyva jen zkusit ten firewall, ale jak to poznamenal uz Vita,
neni vubec zrejme, zda utok vyzaduje aktivni ucast routeru.
Pokud jsi si jisty, ze s OpenBSD problem nenastava nikoliv proto, ze v
te dobe, kdy tam bylo, mel utocnik zrovna "volno", ale skutecne proto,
ze tam je tento system, pak mas jistou nadeji ze to lze na strane
routeru skutecne ovlivnit.
> Jak jste psal o tech levnych levnych zarizenich, ano, to me velmi
> trapi, bohuzel jsme tlaceni trhem a i tim, ze nase technologie je
> prevazne ve vytahovych sachtach panelaku, kdy se nam cca 3 % mesicne
> ztrati diky nenechavym rukam nasich spoluobcanu, cili i z techto dvou
> duvodu nemuzeme pouzivat drazsi technologii :-(.
Ja ti to nevycitam. Jen jsem konstatoval, ze lacina technologie prinasi
zvysene naklady zase jinde. Podle znameho hesla "nechci slevu zadarmo".
Co je horsi - "cenou" muze byt to, ze nektere veci nepujde zaridit vubec
- a tim "nektere veci" bohuzel muze znamenat i to, ze se nepujde ucinne
branit urcitym typum utoku. To, ze jeden (jakykoli) clovek tak bude
schopen zlikvidovat provoz cele site muze byt ten pripad.
Netvrdim, ze je.
> Ohledne firewallu, je to rozhodne reseni, bohuzel pri trafficu 160
> Mbit, ci spise pri poctu paketu pri tomto trafficu, kde drtivou
> vetsinu tvori dotazy dc, nejaka udpcka od her, tak bsdcka jiz
> nestihaji. Proto hledam, zda neexistuje neco, cim bych proste
> broadcast zakazal a bylo by po problemu.
Jestli bude stacit udelat neco na routeru ...
Je mozne (a to zase neni vycitka, jen konstatovani), ze jste narazili
na hranice moznosti technologie, kterou pouzivate.
Nez to ale uzavreme takhle pesimisticky je potreba zkusit zjistit, co
se vlastne v siti deje a z toho zkusit odhadnout mechanismus vzniku
situace a nasledne odhadnout moznost identifikace utocnika a prevence
proti tomuto typu utoku. To al enelze bez zcela konkretnich dat.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list