|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Andrey Zolotnicky 2:5081/2 30 Oct 2001 17:10:11
To : Olli Artemjev
Subject : Re: Hекотоpое подобие IP спyфинга
--------------------------------------------------------------------------------
AZ>> И ЭТО говоришь ТЫ ???? :-))
OA> я-я.
ню-ню :-)
AZ>> Я удивлен :-)))) С каких это пор адреса модемного пула попадают под
AZ>> дефолтовый раутинг???? Более того, не дай бог они под него попадают (я
AZ>> имею в виду конечно непосредственно сервер доступа). Самое правильное
AZ>> - статикой завернуто на Null
OA> Ты говоришь о том, что надо резать спуффинг. С этим согласен. Hо по данным
Hет, я говорю отнюдь не о спуфинге.
OA> того же Соколова, который недавно приводил свою статистику - очень многие
OA> его на модемных пулах _не_ режут. Я всего лишь указал механизм прохода
OA> пакетов, который может использоваться. Собственно как еще они могут
OA> раутится,
OA> кроме как через default route? %) Hу не лезет ничего подходящего в данном
Эеееэээххх.... нужно бы тебя конечно послать в кисковский фак почитать пункт
6.4. Hу да ладно, устроим ликбез тут :-)
Рассмотрим простейший случай. У тебя есть киска, upstream канал, модемный пул,
сетка класса C. Диалаповским юзерам адреса выдаются динамически из пула.
Default route естественно указывает на upstream. А на апстриме естественно
прописан маршрут на всю (обрати внимание - на _всю_!) твою сетку.
Далее. Маршруты на всех подключенных в данный момент диалапных юзеров киске
известны как connected. А маршруты на неиспользуемые в данный момент адреса???
Правильно, неизвестны. И соответственно попадают под default route. А тот
указывает куда??? Правильно. Hа апстрима.
И вот тут то пришла злая нимда (или злобный сканер) и начала слать пакеты на
все подряд адреса твоей сетки. Пришел пакет на твою киску. Если на адрес,
маршрут на который киске известен, то туда ему и дорога. А если данный адрес в
данный момент времени не занят??? Правильно, пакет пошел по default route
обратно на апстрима. А куда он пошел с апстрима??? Правильно, обратно к тебе.
И так, пока не исчерпается ttl.
Результат поражает воображение :-)
AZ>> Все, ухожу :-))
OA> Зачем же. По моему в топик пока общаемся.
Топик тут только в том, что если не выполнены эти _элемнтарные_ рекомендации по
построению маршрутизации, то можно без проблем положить канал просто
сканированием.
Cheers,
Andrey mailto:andrey@kost.kz
ICQ UIN:5526471
nic-hdl:AZ774-RIPE
--- tin/1.4.3-20000502 ("Marian") (UNIX) (Linux/2.2.14-15mdk (i686))
* Origin: IFTC Kostanay RTS (2:5081/2.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
