Problem s broadcasty

Dan Lukes dan at obluda.cz
Sun Apr 8 19:24:50 CEST 2007


Bc. Radek Krejca napsal/wrote, On 04/08/07 17:55:
> No, on se jedna o utok zevnitr, ale mam problem odchytit cloveka,
> ktery jej dela. 

	Zalezi na jake udaje se da spolehnout - a to zas zavisi jak je udelana 
autentizace v te siti.

	Pokud utocnik dokaze padelat vsechny zdrojove informace (jak IP na L3 
vrstve tak MAC na L2 vrstve) pak jej skutecne dohledat mozne takrka neni.

	To ti zbyva jen zkusit ten firewall, ale jak to poznamenal uz Vita, 
neni vubec zrejme, zda utok vyzaduje aktivni ucast routeru.

	Pokud jsi si jisty, ze s OpenBSD problem nenastava nikoliv proto, ze v 
te dobe, kdy tam bylo, mel utocnik zrovna "volno", ale skutecne proto, 
ze tam je tento system, pak mas jistou nadeji ze to lze na strane 
routeru skutecne ovlivnit.

> Jak jste psal o tech levnych levnych zarizenich, ano, to me velmi
> trapi, bohuzel jsme tlaceni trhem a i tim, ze nase technologie je
> prevazne ve vytahovych sachtach panelaku, kdy se nam cca 3 % mesicne
> ztrati diky nenechavym rukam nasich spoluobcanu, cili i z techto dvou
> duvodu nemuzeme pouzivat drazsi technologii :-(.

	Ja ti to nevycitam. Jen jsem konstatoval, ze lacina technologie prinasi 
zvysene naklady zase jinde. Podle znameho hesla "nechci slevu zadarmo". 
Co je horsi - "cenou" muze byt to, ze nektere veci nepujde zaridit vubec 
- a tim "nektere veci" bohuzel muze znamenat i to, ze se nepujde ucinne 
branit urcitym typum utoku. To, ze jeden (jakykoli) clovek tak bude 
schopen zlikvidovat provoz cele site muze byt ten pripad.

	Netvrdim, ze je.


> Ohledne firewallu, je to rozhodne reseni, bohuzel pri trafficu 160
> Mbit, ci spise pri poctu paketu pri tomto trafficu, kde drtivou
> vetsinu tvori dotazy dc, nejaka udpcka od her, tak bsdcka jiz
> nestihaji. Proto hledam, zda neexistuje neco, cim bych proste
> broadcast zakazal a bylo by po problemu.

	Jestli bude stacit udelat neco na routeru ...

	Je mozne (a to zase neni vycitka, jen konstatovani), ze jste narazili 
na hranice moznosti technologie, kterou pouzivate.


	Nez to ale uzavreme takhle pesimisticky je potreba zkusit zjistit, co 
se vlastne v siti deje a z toho zkusit odhadnout mechanismus vzniku 
situace a nasledne odhadnout moznost identifikace utocnika a prevence 
proti tomuto typu utoku. To al enelze bez zcela konkretnich dat.

					Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz



More information about the Users-l mailing list