| 1.1, A.Stahl (ok), 14:39, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Разжуйте пожалуйста.
Т.е. получается, что приконнектиться к какому-то порту возможно лишь после отсылки на какой-то другой порт специального пакета и получения ключа?
Так?
| | |
| |
| 2.4, YetAnotherOnanym (ok), 14:44, 22/08/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Насколько я понял - нет, клиент стукается напрямую к серверу, только в одном из полей TCP-заголовка должно быть не абы что, а только то, что должно быть.
| | |
| |
| 3.26, AAW (?), 15:44, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Технология Port Knocking осуществляет последовательность попыток подключения к закрытым портам. Даже не смотря на то, что все порты закрыты, вы можете отследить все попытки подключения в лог-файлах файрвола. Сервер, чаще всего, никак не отвечает на эти подключения, но он считывает и обрабатывает их. Но если же серия подключений была заранее обозначена пользователем, то выполнится определенное действие.
| | |
| |
| 4.34, A.Stahl (ok), 16:30, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Т.е. я в заголовок пакета пишу какой-то идентификатор, потом коннекчусь в 46, 38, 12 портам (которые мне не отвечают) и после этого могу с этим же идентификатором коннектится к 80му и он мне уже ответит. Так?
| | |
| 4.53, Аноним (-), 19:16, 22/08/2014 [^] [^^] [^^^] [ответить]
| +7 +/– |
Здесь не классический Port Knocking, а что-то близкое к нему. Ни на какие дополнительные порты стучать не надо. Подключаешься напрямую к нужному, но в поле номера пакета, где в первом пакете соединения обычно стоит случайное число, ставишь сгенерированный на основе твоего адреса и секретного ключа код авторизации.
| | |
|
|
| 2.66, Аноним (-), 21:46, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Это одна из технологий, позволяющая тебе секьюрно заходить на свой сервачок. Вроде бы скрывает сам факт существования твоего сервера в сети, что довольно интересно.
ПС:
1) Сноуден уже больше года не приделах, но все еще его инфа считается актуальной. Спецслужбы могли ускорить проект и уже завершить сканирование, а он тут про старые планы вещает.
2) Использование перехваченных пользовательских машин? Легальный ботнет?
3) gnunet надо поковырять. Что-то про него не писали раньше (или давно) Все про торы всякие и i2p.
| | |
| |
| 3.84, Anonym2 (?), 08:19, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> 1) Сноуден уже больше года не приделах, но все еще его инфа
> считается актуальной. Спецслужбы могли ускорить проект и уже завершить сканирование, а
> он тут про старые планы вещает.
> 2) Использование перехваченных пользовательских машин? Легальный ботнет?
:-) Но вот прошёл год...
| | |
| 3.94, Аноним (-), 18:58, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> 3) gnunet надо поковырять. Что-то про него не писали раньше (или давно)
При том что его автор - специалист своего дела.
| | |
|
| 2.91, Кевин (?), 12:47, 23/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
это как тайные стуки в дверь если три длинных вда коротких и один звонок, то всё ок. если нет, то никого нет дома.
| | |
|
| 1.3, Аноним (-), 14:41, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как клиенты будут подключаться к серверу, у которого 80 порт отвечает только после подобных манипуляций с портами?
| | |
| |
| 2.5, YetAnotherOnanym (ok), 14:51, 22/08/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
> А как клиенты будут подключаться к серверу, у которого 80 порт отвечает
> только после подобных манипуляций с портами?
Это не для публичных сервисов. На 80 порт могут коннектиться кто угодно, а на 22 - только админ, у которого на ноуте/рабстанции линух с поддержкой этой фичи. Всем остальным сервер просто не ответит, как будто на 22 порту ничего не слушает.
| | |
| |
| 3.67, Аноним (-), 21:49, 22/08/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Лично я не буду ставить ради закрытия и так безопасного ssh (который на другом порту и с прочими заморочками) всякие экспериментальные руткитоподобные либы, которые перехватывают вызовы ядра. Вот Линус посмотрит патчи хотябы ))
| | |
| |
| 4.113, Аноним (-), 22:31, 24/08/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ты так говоришь, как будто пришел суровый мужик с пистолетом, наставил пистолет на тебя и недвусмысленно потребовал использовать его патч.
| | |
|
| 3.75, Аноним (-), 06:44, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Это не для публичных сервисов. На 80 порт могут коннектиться кто угодно,
Ну ты же понимаешь что роутеры по пути не обязаны быть дружественными. А половина из них может запросто отзеркалить траффик или выжимку кому-то еще.
| | |
|
|
| 1.6, Dan Dare 3 (?), 14:52, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –17 +/– |
а не проще ли будет закрыть входящие icmp?
deny icmp from any to any in icmptypes 8
allow icmp from any to any out icmptypes 8
allow icmp from any to any in icmptypes 0
| | |
| |
| 2.8, EuPhobos (ok), 14:56, 22/08/2014 [^] [^^] [^^^] [ответить]
| +17 +/– |
 > а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0
Мда.. как всё печально..
Для начала почитай для чего нужен icmp и о его полезностях в глобальной сети..
| | |
| |
| 3.9, Dan Dare 3 (?), 15:02, 22/08/2014 [^] [^^] [^^^] [ответить]
| –25 +/– |
ты наверное умней, чем авторы книг по FreeBSD. данный пример есть почти в каждой книге по IPFW. а может ты чукча не читатель, а чукча писатель. я вижу ты даже не понимаешь, что означает данные цепочки правил.
| | |
| |
| 4.11, annnonnn (?), 15:08, 22/08/2014 [^] [^^] [^^^] [ответить]
| +26 +/– |
Копировать правила для фаервола из книг, не задумываясь что они делают - просто атас.
| | |
| |
| 5.12, Dan Dare 3 (?), 15:12, 22/08/2014 [^] [^^] [^^^] [ответить]
| –11 +/– |
ты про меня "не задумываеца"? к твоему сведенью, в книгах эти цепочки правил подробно описаны. ты наверное книги не читаешь, советую хоть иногда читать
| | |
| |
| |
| 7.57, Аноним (-), 19:26, 22/08/2014 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Чувак, не позорься.
Так давно же сказали: "глядит в книгу, видит фигу".
| | |
|
| 6.27, Slav (??), 15:48, 22/08/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
Книжки читаешь! Это здорово! Токма когда читаешь, получше вникай в смысл темы или вопроса.
| | |
| |
| 7.136, Andrey Mitrofanov (?), 14:12, 27/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Как уже порекомендовали -- не позорьтесь. Если вдруг дойдёт, могу грохнуть
> ветку от #6 по доброте душевной.
Посмотри ещё раз на #6 в свете --
0 - Echo Reply (ping response)
8 - Echo Request (ping request)
Там не закрытие "всего-всего icmp", а всего-навсего закрытие вх._пингов_.
Да, конечно, оно никакого отношения [к "не проще ли"] к inband one packet pre-auth не имеет. Но не имеет оно никакого отношения и к "поломеке всего-всего интернета" [к "что профессионалы думают"].
| | |
|
|
| 5.20, Аноним (-), 15:25, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Копировать правила для фаервола из книг, не задумываясь что они делают -
> просто атас.
Стандартный бсдшник. Nobrainer в чистом виде.
| | |
| |
| 6.30, t28 (?), 15:51, 22/08/2014 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Стандартный бсдшник. Nobrainer в чистом виде.
Наоборот. Какой-то нестандартный. Наверное, линуксоид.
| | |
| |
| 7.54, Аноним (-), 19:22, 22/08/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Наоборот. Какой-то нестандартный.
Да как же нестандартный? Хорошо вписывается в общую картину всяких тигаров, изенов и нагуалов у которых гонора много а знаний мало.
> Наверное, линуксоид.
В линуксе не пользуются ipfw. А так все хорошо, прекрасная маркиза.
| | |
|
|
| 5.40, anonymous (??), 17:14, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Копировать правила для фаервола из книг, не задумываясь что они делают -
> просто атас.
Так много где делают, на самом деле. Не только в случае фаерволлов. Делают, не зная, что вообще, собственно, делают.
| | |
| |
| 6.55, Аноним (-), 19:23, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Делают, не зная, что вообще, собственно, делают.
Перепись дрессированных обезьян на опеннете :).
| | |
| |
| 7.60, arisu (ok), 19:50, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> Делают, не зная, что вообще, собственно, делают.
> Перепись дрессированных обезьян на опеннете :).
таки да, и не только эта ветка. читаю и наслаждаюсь. даже отвечать никому не хочется: они идеально прекрасны в своей незамутнённости.
| | |
| |
| 8.76, Аноним (-), 06:50, 23/08/2014 [^] [^^] [^^^] [ответить] | +1 +/– | Не в обиду фрибсдшниками, я по дефолту навешиваю на фрибсдшников лэйбл тyпой но... текст свёрнут, показать | | |
| |
| 9.80, arisu (ok), 06:59, 23/08/2014 [^] [^^] [^^^] [ответить] | +2 +/– | bsd-шники-то тут при чём они себе спокойно пилят и или используют свою систему ... текст свёрнут, показать | | |
| |
| 10.95, Аноним (-), 19:12, 23/08/2014 [^] [^^] [^^^] [ответить] | +/– | Да кто как Вон Kibab какой-нибудь с пеной у рта доказывал как рулит бзда и ее л... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 4.68, Аноним (-), 21:53, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> ты наверное умней, чем авторы книг по FreeBSD. данный пример есть почти
> в каждой книге по IPFW. а может ты чукча не читатель,
> а чукча писатель. я вижу ты даже не понимаешь, что означает
> данные цепочки правил.
Книги устаревают еще до поступления на прилавок. Угрозы развиваются стремительно, и эти правила уже не актуальны, если говорить об угрозе из этой новости.
| | |
| 4.105, Hammer (ok), 08:08, 24/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
 А почему Вы думаете, что автор поста не может быть умней авторов книги по FreeBSD
| | |
|
|
| 2.14, Аноним (-), 15:15, 22/08/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
Как поможет запрет ICMP если при переборе всех ip-адресов диапаозонов будет производиться попытка подключения к портам по протоколу TCP (в начале по самым распространенным, затем по всем)?
| | |
| |
| |
| 4.19, Аноним (-), 15:24, 22/08/2014 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> курим матчасть стека протоколов tcp/ip
И узнаем что TCP - отдельный протокол и icmp ему никуда не вперся. Поэтому если некто простым перебором адресов придет на TCP порт - а ему какое дело до участи icmp на вашей машине вообще???
| | |
| 4.21, Аноним (-), 15:26, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> курим матчасть стека протоколов tcp/ip
Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по TCP/IP и увидеть, что ICMP не используется никак.
| | |
| |
| 5.28, продавец_кирпичей (?), 15:49, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> курим матчасть стека протоколов tcp/ip
> Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по TCP/IP
> и увидеть, что ICMP не используется никак.
Да, это так. Но есть ньюанс ;)
| | |
| |
| 6.69, Аноним (-), 21:56, 22/08/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Да, это так. Но есть ньюанс ;)
Нюанс в том, что сканировать все порты всех айпишников в интернетах силенок не хватит, но если задействовать все вин машины...
| | |
| |
| 7.78, Аноним (-), 06:54, 23/08/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Нюанс в том, что сканировать все порты всех айпишников в интернетах силенок
> не хватит, но если задействовать все вин машины...
Zmap-у это расскажите, который за считанные часы перебирает на гигабитном канале весь интернет.
| | |
|
|
|
|
|
| 2.17, Аноним (-), 15:23, 22/08/2014 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> а не проще ли будет закрыть входящие icmp?
Не мешает сканированию TCP, вообще-то, гражданин кулсисоп.
| | |
| 2.18, Аноним (-), 15:24, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0
Типа этого
nmap -Pn -PS22-25,80,113,1050 -oG logs/scan.gnmap -n xxx.xxx.xxx.xxx/20
| | |
| 2.37, Нанобот (ok), 16:35, 22/08/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0
это такой вброс???
| | |
| |
| |
| Часть нити удалена модератором |
| 4.98, Аноним (-), 19:26, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> У тебя достаточно было бы закрыть исходящие ICMP, если бы целевую ОСь
> определяли по отсылаемым целевым ядром ICMP сообщениям,
Да что вы к этому ICMP привязались, о бсдшные ламерюги? В новости про icmp вообще ни звука.
| | |
| |
| |
| 6.106, anonymous (??), 09:37, 24/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>
> goto out_rcu_unlock;
>
> /* Send an ICMP "Fragment Reassembly
> Timeout" message. */
>
> icmp_send(head, ICMP_TIME_EXCEEDED, ICMP_EXC_FRAGTIME, 0);
> out_rcu_unlock:
>
Тут большая часть кода вообще не к месту, а то, что более-менее к месту - отключается через sysctl, и даже файрволл трогать не надо. И вообще будет действовать в "сильно некоторых" случаях.
| | |
| |
| 7.109, metallica (ok), 16:48, 24/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Тут большая часть кода вообще не к месту, а то, что более-менее
> к месту - отключается через sysctl, и даже файрволл трогать не
> надо. И вообще будет действовать в "сильно некоторых" случаях.
Его привёл как пример того, как ICMP может включаться при TCP/IP
взаимодествиях. Его не надо отключать через sysctl, достаточно
формировать корректные заголовки, что в некоторых техниках
определения удалённой ОС, заведомо не производится. И, наконец, про sysctl,
скажите, как таким образом отключить, например, тот icmp_send, что в ip_local_deliver_finish,
ну так, чтоб при некорректном значении поля protocol в IP заголовке, icmp_send
не срабатывал?
| | |
| |
| 8.116, Аноним (-), 00:17, 25/08/2014 [^] [^^] [^^^] [ответить] | +/– | ICMP может включаться при сетевых взаимодействиях Но как раз из-за всяких удодо... большой текст свёрнут, показать | | |
|
|
| 6.115, Аноним (-), 23:50, 24/08/2014 [^] [^^] [^^^] [ответить] | +/– | Может, но это далеко не единственный метод А у половины кулсисопов к тому же на... большой текст свёрнут, показать | | |
|
|
|
|
| 2.111, Dan Dare 3 (?), 20:21, 24/08/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:
>deny icmp from any to any in icmptypes 8
>allow icmp from any to any out icmptypes 8
>allow icmp from any to any in icmptypes 0
смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP), для удаленной машины моя отключена, а я могу пинговать
| | |
| |
| 3.123, Аноним (-), 03:47, 25/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP),
> для удаленной машины моя отключена, а я могу пинговать
Ну все, после этого ты крутой бсдшный хакир, не меньше. Правда, сканеры типа zmap вообще класть хотели на возможность тебя пинговать, они порты сканируют рассылая SYN, на который ты или уж ответишь, или уж не сможешь клиентов обслуживать.
| | |
| |
| 4.125, Dan Dare 3 (?), 08:28, 25/08/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
называться хакером мне совершенно не льстит. это детям нравится, чтобы повыпендриваться
| | |
| |
| 5.126, arisu (ok), 08:52, 25/08/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
как ты ненавязчиво поставил себя выше огромного количества людей в MIT. действительно, дети какие-то, не то, что серьёзный ты. ну и что, что ты дурак? зато серьёзный.
| | |
|
|
| 3.133, Michael Shigorin (ok), 13:31, 27/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:
Это потому, что Вы научились читать с бумажки "2*2 = 4", а люди интересуются, в какой системе счисления работаем. Но ламерьё вместо того, чтоб заткнуться и пойти в читалку, продолжает выпендриваться -- агрессию пришлось почистить.
Учитесь слушать других, ощущение собственной крутости ещё никому на пользу не пошло, насколько могу судить.
| | |
|
|
| 1.7, EuPhobos (ok), 14:55, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
Почему бы просто не создать какой ни будь сервис или демон на отдельно стоящем сервере в компании, и перенаправлять туда всё что не касается сканируемых серверов компании, а этот сервис/демон пусть отвечает как нам надо на все запросы/сканы спец.служб.
Напрмиер:
Сканируют 80-ый порт, которого нет на сервере, но спецслужбам идёт ответ что там установлен ISS какой ни будь старой версии.
Сканируют 445 на сервере, идёт ответ что там винда XP с сервис паком 1
И т.д. по всем более менее важным портам.
Таким образом засрать базу данных этих самых спец.служб так, что они потом не разберутся, где и у кого реально есть уязвимости.
А то как-то усложняют себе жизнь этим TCP Stealth ..
| | |
| |
| |
| 3.52, Ник (??), 18:44, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
это не совсем ханипот. Цель ханипота - разместить заведомо уязвимую версию ПО и максимально залогировать действия злоумышленника на сервере, а тут предлагают подмену стандартного баннера. Допустим у нас на 21 порту будет баннер телнета, а на самом деле будет ссш. В принципе, баннеры для многих сервисов скрываются/подменяются либо через обычные конфиги, либо через замену строк до сборки пакета.
| | |
| |
| 4.70, Аноним (-), 22:00, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Вот удобной подмены баннеров действительно нехватает. Пересобирать ссш и обновлять вручную влом.
И держать для этого какую-то другую систему не обязательно. Только ресурсы зря будут тратиться на ответы всяким ботам.
| | |
| 4.90, Аноним (-), 09:36, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Тут предлагают некий deceiverd, который будет принимать соединения на всех интересных портах и выдавать на них интересные баннеры (возможно, даже произвольно выбранные из пула), но сам при этом никаких сервисов предоставлять не будет. Или будет предоставлять минимальные, типа отдачи пустого index.html, открытия и мгновенного закрытия соединения по telnet, и т.д.
| | |
| |
| 5.119, Аноним (-), 00:59, 25/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Тут предлагают некий deceiverd, который будет принимать соединения на всех интересных портах
> и выдавать на них интересные баннеры (возможно, даже произвольно выбранные из
> пула), но сам при этом никаких сервисов предоставлять не будет. Или
> будет предоставлять минимальные, типа отдачи пустого index.html, открытия и мгновенного
> закрытия соединения по telnet, и т.д.
Ачо, tcpwrappers уже отменили? И в портах нету? И в ебилдах?
| | |
| |
| 6.127, Аноним (-), 09:12, 25/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ну покажи инсталляцию tcpwrappers на любом произвольном сервере, которая делает ровно это.
| | |
|
|
|
|
| 2.29, _KUL (ok), 15:49, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Смотрим на ripe.net диапазоны спецслужб и блочим их. Есть же геоайпи, так нужно спецслцужбыайпи сделать :)
| | |
| |
| 3.33, Аноним (-), 16:15, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Слишком просто. Думаете, вы умнее спецслужб, и те не подумали про диапазоны?
В новости даже написано:
> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов. | | |
| |
| 4.41, anonymous (??), 17:15, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Слишком просто. Думаете, вы умнее спецслужб, и те не подумали про диапазоны?
> В новости даже написано:
>> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.
Добавлю ключевые слова для поиска: landmark, orb, olympia, hacienda.
| | |
| 4.58, Аноним (-), 19:32, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> В процессе работы HACIEND применяются перехваченные гражданские компьютеры,
>> которыеиспользуются для получения вычислительных ресурсов или скрытия следов.
Ну то-есть чуваки внаглую отбабахали (или отжали) ботнет, промышляют сканами, а поскольку у них крыша - то как бы даже все шито-крыто :). Что там следующее? Ждем когда они начнут на заказ ддосы производить? :)
| | |
| |
| 5.61, arisu (ok), 19:53, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Что там следующее? Ждем когда они начнут на заказ ддосы производить?
если ты думаешь, что нет…
| | |
| |
| 6.74, Аноним (-), 06:41, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> если ты думаешь, что нет…
Так я и спрашиваю - когда уже начнут тарифы в открытую вывешивать ;).
| | |
| |
| 7.81, arisu (ok), 07:00, 23/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> если ты думаешь, что нет…
> Так я и спрашиваю - когда уже начнут тарифы в открытую вывешивать
это невыгодно: снижает возможность дифферинцирования цен. ну, в плане: «а почему Васе за десять долларов, а мне за триста?!»
| | |
|
|
|
|
|
| 2.31, Andrey (??), 15:58, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Политика агронома из анекдота "нехай этот суслик подавится"? Уверяю вас это порочная практика, особенно если для этой "дыры" есть хоть один хост в сети, который будет доверять на каком-то уровне.
| | |
| 2.124, Аноним (-), 03:50, 25/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Почему бы просто не создать какой ни будь сервис или демон на
> отдельно стоящем сервере в компании, и перенаправлять туда всё
Поздравляю, вы только что изобрели DMZ :).
| | |
|
| 1.10, Нанобот (ok), 15:06, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а если бы использовали TCP_MD5SIG, можно было бы добиться аналогичного результата без необходимости патчить йадро
| | |
| |
| 2.49, pavlinux (ok), 18:16, 22/08/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Чукча не читатель, чукча песатель?
https://gnunet.org/sites/default/files/tcp_stealth_3.16_1.diff
+#ifdef CONFIG_TCP_STEALTH
+u32 tcp_stealth_sequence_number(struct sock *sk, __be32 *daddr,
+ u32 daddr_size, __be16 dport)
+{
+ struct tcp_sock *tp = tcp_sk(sk);
+ struct tcp_md5sig_key *md5;
+
+ __u32 sec[MD5_MESSAGE_BYTES / sizeof(__u32)];
+ __u32 i;
+ __u32 tsval = 0;
+
+ __be32 iv[MD5_DIGEST_WORDS] = { 0 };
+ __be32 isn;
+
+ memcpy(iv, (const __u8 *)daddr,
+ (daddr_size > sizeof(iv)) ? sizeof(iv) : daddr_size);
+
+#ifdef CONFIG_TCP_MD5SIG
+ md5 = tp->af_specific->md5_lookup(sk, sk);
+#else
+ md5 = NULL;
+#endif
...
| | |
|
| 1.15, Аноним (-), 15:20, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На секундочку, в 2014 году любой овощ может запустить zmap на серваке с гигабитным каналом и через менее чем сутки получить исчерпывающий список машин с интересовавшим портом. Лобовым перебором IPv4. Целиком.
| | |
| |
| |
| 3.25, Случайный гость (?), 15:43, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Портов 65535, если что. 65535 суток - это как бы дофига.
А нелюбой овощ может запустить 65535 zmap-ов на 65535 машинах.
| | |
| |
| 4.50, pavlinux (ok), 18:18, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Портов 65535, если что. 65535 суток - это как бы дофига.
> А нелюбой овощ может запустить 65535 zmap-ов на 65535 машинах.
В новости написано же - ботнеты АНБ юзает.
| | |
|
| 3.59, Аноним (-), 19:35, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Портов 65535, если что. 65535 суток - это как бы дофига.
Во первых там несколько часов. Во вторых, можно взять скажем тысячу компьютеров. Несколько часов * 65 - через менее чем месяц у вас будет исчерпывающий скан интернета.
Впрочем, в основном интересуют стандартные сервера на стандартных портах. Разбираться что там за нестандартный кастом на энном порту - много времени надо.
| | |
|
|
| 1.32, Аноним (-), 16:07, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Спецслужбы выявляют как раз уязвимый, годами непропатченный софт. А не любителей собирать ядро с новомодными фичами для безопасности.
| | |
| |
| 2.36, Нанобот (ok), 16:34, 22/08/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
данный софт расчитан на любителей поистерить на тему "мы все под колпаком", спецслужбы тут вообще никоим боком
| | |
|
| 1.38, Аноним (-), 16:44, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.
Т.е. спецслужбы занимаются кибер-терроризмом?
| | |
| |
| 2.42, anonymous (??), 17:16, 22/08/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.
> Т.е. спецслужбы занимаются кибер-терроризмом?
Неожиданно, правда?
Смешней всего, когда похекают именно твой комп и именно тебе дадут по голове за то, что ты не делал.
| | |
| 2.62, arisu (ok), 19:54, 22/08/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Т.е. спецслужбы занимаются кибер-терроризмом?
для тебя это новость?
| | |
| 2.73, Аноним (-), 06:40, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Т.е. спецслужбы занимаются кибер-терроризмом?
Как известно, хуже террористов только борцы с терроризмом...
| | |
| |
| 3.83, arisu (ok), 07:04, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Как известно, хуже террористов только борцы с терроризмом...
угу. «для борьбы с терроризмом годятся *любые* методы!»
| | |
|
|
| |
| 2.46, Аноним (-), 17:30, 22/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
В передаваемом хэше учитывается IP, порт отправителя и timestamp, поэтому коллизии очень легко отметаются.
| | |
|
| |
| |
| 3.79, Аноним (-), 06:55, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Своим тоже?
Ну, прикинь как прикольно. Идешь на сервак по ssh. А там - обана, tarpit. Не рой другому яму! :)))
| | |
|
|
| 1.48, вои и аноним подкрался (?), 18:06, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а не проще держать порты закрытыми на системе. если сервак публичный ничего не попишешь, но если он внутренний то в чем проблема. определил список имеющих разрешение на подключение и все. а за публиным следить особо просто. чтоб дыры вовремя патчить и все. на крайняк выставить ответный скан на незаконных подключенцев))) если возникнут проблемы с законом из-за них выдать логи спецам пусть смотрят кто накуролесил через ваш сервак. в мандриве была такая фишка открывать ответный скан на запрещенные подключения.
| | |
| |
| |
| 3.72, вои и аноним подкрался (?), 23:44, 22/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
так я и не хвастаюсь что админ или программер. я чисто любопытный линуксоид так сказать. нет если будет интересно могу конечно и в коде покопаться, но я не профи . поэтому и не лезу ссоветами. просто предложил. кстати была тут программка похожая, которая позволяла подключаться похожим образом. типа постучался в порт особым образом и соединение есть. вот только не помню название. я например дома просто закрываю все порты в системе для подключения из вне и остается только доступ в сеть изнутри. но прекрасно понимаю что это не подходит для публичных серверов.
| | |
| |
| 4.82, arisu (ok), 07:02, 23/08/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> поэтому и не лезу ссоветами.
> просто предложил.
эти два предложения противоречат друг другу.
скажи, хирургу ты тоже будешь «просто предлагать», как лучше операции делать? нет? а зачем ты тогда лезешь со своими «предложениями» в другие области, где точно так же ничего не понимаешь?
| | |
| |
| 5.88, вот такой вот аноним (?), 09:18, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
я говорил что совсем ничего не понимаю? понимаю, но не считаю свое мнение окончательным. я ведь хоть не профи админ или программист, но все же далеко не рядовой пользователь. не стоит ставить свою точку зрения окончательной.
| | |
| |
| 6.89, arisu (ok), 09:25, 23/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> я говорил что совсем ничего не понимаю?
ты это написал. прямо в #48. яснее некуда.
| | |
|
|
|
|
| 2.135, Michael Shigorin (ok), 13:41, 27/08/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> а не проще держать порты закрытыми на системе.
Не проще, когда требуется разрешить противоречие вида "сервис должен быть доступен своим, но сервис должен быть недоступен чужим" или "сервис должен быть доступен своим, но их IP-адреса заранее неизвестны". Вариантов решения последней задачи знаю два -- VPN и port knocking.
Когда не знаете точно, но что-либо удивило -- лучше не писать много текста, а кратенько спросить; в данном случае достаточно было первого предложения с вопросительным знаком в конце, чтоб даже от хмурого arisu получить скорее ответ, чем наезд. :)
| | |
|
| 1.85, Адекват (ok), 08:48, 23/08/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Мне кажется это очень изящный способ выстрелить себе в ногу, результатом которого будет то, что вы сами не сможете подключиться на свой сервер, который находиться в другом часовом поясе например.
Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть на 22, хоть на 22222 порту.
Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет, а для всех остальных есть всякие ВПН, ключи и сертификаты.
| | |
| |
| 2.100, Аноним (-), 19:35, 23/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть
> на 22, хоть на 22222 порту.
Кроме того что на него прется легион ботов которые неиллюзорно грузят машину при многопоточных сканах и загаживают логи.
> Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет,
И зачем мне "все кто захочет" на интерфейсе управления МОИМ сервером, например?
| | |
| |
| 3.103, chinarulezzz (ok), 00:06, 24/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >И зачем мне "все кто захочет" на интерфейсе управления МОИМ сервером, например?
фу, эгоист :D
| | |
| |
| 4.117, Аноним (-), 00:18, 25/08/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> фу, эгоист :D
Не будь эгоистом - расшарь свой сервак. Просим, просим :)
| | |
|
|
|
| |
| |
| 3.110, pavlinux (ok), 18:18, 24/08/2014 [^] [^^] [^^^] [ответить]
| +/– |
Реализация вроде правильная, всё по феншую, по API.
Но поверхностный просмотр кода оставляет впечатление, что написано по заказу,
либо посаны для себя бэкдор оставили (либо просто чайники и этого не видят). :)
| | |
|
|
|
