forum.opennet.ru - "OpenNews: Модуль ipt_MIRROR для linux 2.6.xx" (15)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Модуль ipt_MIRROR для linux 2.6.xx"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от opennews on 04-Окт-05, 15:09
Восстановлен модуль с целью MIRROR для netfilter, осуществляющий переотправку пакета поменяв местами адреса отправителя и получателя. Этот модуль был официально исключен из ядра 2.6. Прежде чем использовать - желательно подумать зачем. URL: http://www.ezh.msk.ru/source/ipt_MIRROR.tar.gz Новость: https://www.opennet.ru/opennews/art.shtml?num=6183
Cообщить модератору \| Наверх \| ^

Оглавление

Модуль ipt_MIRROR для linux 2.6.xx, Аноним, 15:09 , 04-Окт-05, (1)

Модуль ipt_MIRROR для linux 2.6.xx, Ezhik, 15:19 , 04-Окт-05, (2)

Модуль ipt_MIRROR для linux 2.6.xx, DEC, 15:41 , 04-Окт-05, (3)

Модуль ipt_MIRROR для linux 2.6.xx, Ezhik, 15:44 , 04-Окт-05, (4)

Модуль ipt_MIRROR для linux 2.6.xx, DEC, 16:41 , 04-Окт-05, (7)

Модуль ipt_MIRROR для linux 2.6.xx, Ezhik, 17:27 , 04-Окт-05, (8)
Модуль ipt_MIRROR для linux 2.6.xx, sash, 18:12 , 04-Окт-05, (9)
Модуль ipt_MIRROR для linux 2.6.xx, sash, 18:14 , 04-Окт-05, (10)

Модуль ipt_MIRROR для linux 2.6.xx, dimus, 07:44 , 05-Окт-05, (11)
Модуль ipt_MIRROR для linux 2.6.xx, _Nick_, 01:09 , 06-Окт-05, (13)

Модуль ipt_MIRROR для linux 2.6.xx, dimus, 07:53 , 06-Окт-05, (15)

Модуль ipt_MIRROR для linux 2.6.xx, Аноним, 16:20 , 04-Окт-05, (5)

Модуль ipt_MIRROR для linux 2.6.xx, _Nick_, 01:12 , 06-Окт-05, (14)

Модуль ipt_MIRROR для linux 2.6.xx, dimus, 16:23 , 04-Окт-05, (6)
Модуль ipt_MIRROR для linux 2.6.xx, forge, 07:45 , 08-Окт-05, (17)

Сообщения по теме [Сортировка по времени, UBB]

1. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от Аноним on 04-Окт-05, 15:09

а зачем он нужет ?

Cообщить модератору | Наверх | ^

2. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от Ezhik on 04-Окт-05, 15:19

ну, например, если тебя кто то сканирует, то он увидит себя

Cообщить модератору | Наверх | ^

3. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от DEC (ok) on 04-Окт-05, 15:41

IMHO не совсем так. Пакеты предназначенные тебе, ты отошлёшь назад, но это будут не ответы на попытку скана, а непосредственно попытка скана...
Я так и не понял нафига это надо...

Cообщить модератору | Наверх | ^

4. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от Ezhik on 04-Окт-05, 15:44

Попробуй проверить это на практике. "Непосредственная попытка скана" , c одним но - сканирующий просканирует порты на своей машине, а не на твоей.

Cообщить модератору | Наверх | ^

7. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от DEC (ok) on 04-Окт-05, 16:41

Проверить на практике не могу, не юзаю я линукс. Но хотелось бы понять как это можно использовать.
Хорошо, допустим сканирующий засылает тебе TCP/SYN ты зеркалишь этот пакет обратно, теперь к нему приходит TCP/SYN, его комп (в идеале) отвечает тебе, что порт недоступен. Но на тот порт, который его nmap держит открытым и ждёт ответа - ответ не приходит.
Может я чего-то не понимаю?
----- сканирующий просканирует порты на своей машине, а не на твоей ------
вот в это мне, не верится, попахивает фантастикой.

Cообщить модератору | Наверх | ^

8. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от Ezhik on 04-Окт-05, 17:27

ответ уходит с той же пары s-port d-port и возвращается на туже пару s-port d-port - так что nmap какой нужно ответ получит :-)
зы если не уменьшать ttl будет обычный dos - одна из основный причин, по которой этот модуль был исключен из ядра

Cообщить модератору | Наверх | ^

9. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от sash (??) on 04-Окт-05, 18:12

Не понимаешь по видимому.
ipt_MIRROR, заменяет адреса в IP-пакетах. На уровне ТСР происходит следующее:
К нам приходит SYN, допустим SYN:10001(порт)-->80.
Если порт 80 закрыт:
К нам SYN, от нас SYN на 80-й отправителя, от него либо ничего не приходит (таймаут) либо приходит ICMP-unreachable. Если ICMP-unreachable он отражается в сторону отправителя. По этим признакам отправитель решает что порт закрыт.
Порт 80 открыт:
SYN-->SYN/ACK-->ACK. Каждый пакет попросту отражается в сторону отправителя, и не имеет значения с какого порта устанавливается соединение, ведь в пакете однозначно указаны tcp_sport и tcp_dport, и отправитель их воспринимает однозначно.

Cообщить модератору | Наверх | ^

10. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от sash (??) on 04-Окт-05, 18:14

Да и еще.
Это очень простой путь вместо "прикола" нажить себе огромную дыру для дос.
Атакуещему достаточно заполнить твой канал наполовину, пакетами которые попадают под -j MIRROR

Cообщить модератору | Наверх | ^

11. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от dimus (??) on 05-Окт-05, 07:44

Вообще-то если атакующий сможет заполнить твой канал наполовину - это мало не покажется в любом случае, однако замечание конечно оченоь правильное.
Я думаю, что тут надо с умом действовать (например автоматически заменять правило на DROP в случае обнаружения DoS атаки) - зато как приятно, если вместо твоей машины пионэр начнет взламывать свою собственную :) Естественно, что такой способ прокатит только против некомпетентного человека - благо, что благодаря стараниям журнала "Ламер" их сейчас развелось немало.

Cообщить модератору | Наверх | ^

13. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от _Nick_ (??) on 06-Окт-05, 01:09

а пингами если он его заполнит наполовину?? та же колбаса.
ответы то ты шлешь по-любому (мы не параноики блдшники - ICMP не фаерволим и чесно отвечаем, без особенных нужд).
Так что хоть ЗЕРКАЛО, хоть простой пинг.
Можешь загрузить чужой канал наполовину - все. тут даже "-s <DOSSER> -j DROP" не поможет

Cообщить модератору | Наверх | ^

15. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от dimus (??) on 06-Окт-05, 07:53

Вообще против любителей флуда есть классное правило в iptables - называется limit и используется так:
# Разрешим прохождение 4 пакетов в секунду
$IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -m limit --limit 4/S --limit-burst 1 -j ACCEPT
# А все остальные пакеты запретим
$IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -j DROP
Хотя конечно и это никак не панацея - в конечном итоге все сводится к тому, у кого канал толще. Кстати, если у вас оплачивается входящий траффик, то флудер вас еще и делает существенно беднее.

Cообщить модератору | Наверх | ^

5. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от Аноним on 04-Окт-05, 16:20

интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.

Cообщить модератору | Наверх | ^

14. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от _Nick_ (??) on 06-Окт-05, 01:12

>интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит
>по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.
>
Double Dos будет.
Либо все упрется в ширину канала, либо в скорость одной из тачек (ну врядли в нащ то век Гигагерцов... ;))
так что дос обоим обеспечен в таком случае

Cообщить модератору | Наверх | ^

6. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от dimus (??) on 04-Окт-05, 16:23

Прикольно посадить цель на отдельные порты - можно конкретно поиздеваться над пионэрами :)

Cообщить модератору | Наверх | ^

17. "Модуль ipt_MIRROR для linux 2.6.xx"

Сообщение от forge (??) on 08-Окт-05, 07:45

Ура! Наконец-то. Я как только не пытался его вживить в 2.6.x, все-равно имплантация не удавалась, а здесь :).

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Аноним on 04-Окт-05, 15:09
а зачем он нужет ?
Cообщить модератору \| Наверх \| ^


	2. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от Ezhik on 04-Окт-05, 15:19
	ну, например, если тебя кто то сканирует, то он увидит себя
	Cообщить модератору \| Наверх \| ^


	3. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от DEC (ok) on 04-Окт-05, 15:41
	IMHO не совсем так. Пакеты предназначенные тебе, ты отошлёшь назад, но это будут не ответы на попытку скана, а непосредственно попытка скана... Я так и не понял нафига это надо...
	Cообщить модератору \| Наверх \| ^


	4. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от Ezhik on 04-Окт-05, 15:44
	Попробуй проверить это на практике. "Непосредственная попытка скана" , c одним но - сканирующий просканирует порты на своей машине, а не на твоей.
	Cообщить модератору \| Наверх \| ^


	7. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от DEC (ok) on 04-Окт-05, 16:41
	Проверить на практике не могу, не юзаю я линукс. Но хотелось бы понять как это можно использовать. Хорошо, допустим сканирующий засылает тебе TCP/SYN ты зеркалишь этот пакет обратно, теперь к нему приходит TCP/SYN, его комп (в идеале) отвечает тебе, что порт недоступен. Но на тот порт, который его nmap держит открытым и ждёт ответа - ответ не приходит. Может я чего-то не понимаю? ----- сканирующий просканирует порты на своей машине, а не на твоей ------ вот в это мне, не верится, попахивает фантастикой.
	Cообщить модератору \| Наверх \| ^


	8. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от Ezhik on 04-Окт-05, 17:27
	ответ уходит с той же пары s-port d-port и возвращается на туже пару s-port d-port - так что nmap какой нужно ответ получит :-) зы если не уменьшать ttl будет обычный dos - одна из основный причин, по которой этот модуль был исключен из ядра
	Cообщить модератору \| Наверх \| ^


	9. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от sash (??) on 04-Окт-05, 18:12
	Не понимаешь по видимому. ipt_MIRROR, заменяет адреса в IP-пакетах. На уровне ТСР происходит следующее: К нам приходит SYN, допустим SYN:10001(порт)-->80. Если порт 80 закрыт: К нам SYN, от нас SYN на 80-й отправителя, от него либо ничего не приходит (таймаут) либо приходит ICMP-unreachable. Если ICMP-unreachable он отражается в сторону отправителя. По этим признакам отправитель решает что порт закрыт. Порт 80 открыт: SYN-->SYN/ACK-->ACK. Каждый пакет попросту отражается в сторону отправителя, и не имеет значения с какого порта устанавливается соединение, ведь в пакете однозначно указаны tcp_sport и tcp_dport, и отправитель их воспринимает однозначно.
	Cообщить модератору \| Наверх \| ^


	10. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от sash (??) on 04-Окт-05, 18:14
	Да и еще. Это очень простой путь вместо "прикола" нажить себе огромную дыру для дос. Атакуещему достаточно заполнить твой канал наполовину, пакетами которые попадают под -j MIRROR
	Cообщить модератору \| Наверх \| ^


	11. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от dimus (??) on 05-Окт-05, 07:44
	Вообще-то если атакующий сможет заполнить твой канал наполовину - это мало не покажется в любом случае, однако замечание конечно оченоь правильное. Я думаю, что тут надо с умом действовать (например автоматически заменять правило на DROP в случае обнаружения DoS атаки) - зато как приятно, если вместо твоей машины пионэр начнет взламывать свою собственную :) Естественно, что такой способ прокатит только против некомпетентного человека - благо, что благодаря стараниям журнала "Ламер" их сейчас развелось немало.
	Cообщить модератору \| Наверх \| ^


	13. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от _Nick_ (??) on 06-Окт-05, 01:09
	а пингами если он его заполнит наполовину?? та же колбаса. ответы то ты шлешь по-любому (мы не параноики блдшники - ICMP не фаерволим и чесно отвечаем, без особенных нужд). Так что хоть ЗЕРКАЛО, хоть простой пинг. Можешь загрузить чужой канал наполовину - все. тут даже "-s <DOSSER> -j DROP" не поможет
	Cообщить модератору \| Наверх \| ^


	15. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от dimus (??) on 06-Окт-05, 07:53
	Вообще против любителей флуда есть классное правило в iptables - называется limit и используется так: # Разрешим прохождение 4 пакетов в секунду $IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -m limit --limit 4/S --limit-burst 1 -j ACCEPT # А все остальные пакеты запретим $IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -j DROP Хотя конечно и это никак не панацея - в конечном итоге все сводится к тому, у кого канал толще. Кстати, если у вас оплачивается входящий траффик, то флудер вас еще и делает существенно беднее.
	Cообщить модератору \| Наверх \| ^

5. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от Аноним on 04-Окт-05, 16:20
интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.
Cообщить модератору \| Наверх \| ^


	14. "Модуль ipt_MIRROR для linux 2.6.xx"
	Сообщение от _Nick_ (??) on 06-Окт-05, 01:12
	>интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит >по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает. > Double Dos будет. Либо все упрется в ширину канала, либо в скорость одной из тачек (ну врядли в нащ то век Гигагерцов... ;)) так что дос обоим обеспечен в таком случае
	Cообщить модератору \| Наверх \| ^

6. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от dimus (??) on 04-Окт-05, 16:23
Прикольно посадить цель на отдельные порты - можно конкретно поиздеваться над пионэрами :)
Cообщить модератору \| Наверх \| ^

17. "Модуль ipt_MIRROR для linux 2.6.xx"
Сообщение от forge (??) on 08-Окт-05, 07:45
Ура! Наконец-то. Я как только не пытался его вживить в 2.6.x, все-равно имплантация не удавалась, а здесь :).
Cообщить модератору \| Наверх \| ^