Re: wykrywanie maskarady
Dnia Fri, May 16, 2003 at 10:52:48AM +0200 amon napisał/a:
> Hello debian-user-polish,
>
> co powiecie na cos takiego:
>
> 10:47:47.838437 192.168.1.81.1647 > 195.161.112.74.777: . [tcp sum ok] ack
> 14601 win 64240 <nop,nop,sack sack 1 {16061:18981} > (DF) (ttl 129, id 55309, len 52)
>
> PING 192.168.1.81 (192.168.1.81): 56 data bytes
> 64 bytes from 192.168.1.81: icmp_seq=0 ttl=130 time=0.6 ms
> 64 bytes from 192.168.1.81: icmp_seq=1 ttl=130 time=0.5 ms
>
> dlamnie to pewna maskarada, ale..... moze sie myle?
> pozdrawiam
Odpowiem jako twój użyszkodnik:
"...
- Ależ skąd Panie Adminie, ja poprostu mam testowo skofigurowany
firewll:
iptables -I OUTPUT -p icmp -j TTL --set-ttl 130
iptables -I OUTPUT -j TTL --set-ttl 129
..."
;)
Masz w umowie napisane (jeśli masz taką z użytkownikami),
że przepuszczasz tylko 64 i 128??? ja mam inaczej,
bo mogę, taką możesz usłyszeć odpowieć...
poza tym można nawet zrobić sobie...
-m random --random 20% -j TTL --set-ttl 130
-m random --random 20% -j TTL --set-ttl 131
-m random --random 20% -j TTL --set-ttl 129
-m random --random 20% -j TTL --set-ttl 63
albo tysiąc innych rzeczy, chociażby z podziałem na TTL na usługi,
protokoły, etc.
pzdr
yanek
PS Składnia regółek jest z głowy (nie mam aktualnego man'a na
maszynie z której piszę...)
--
,,Weź przeczytaj chociaż jeden dokument o systemie DNS.
Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.''
- Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)
Reply to: