On Fri, Jan 04, 2002 at 12:28:09PM +0100, Sascha Andres wrote:
hi, On Thu, Jan 03, 2002 at 08:09:16AM +0100, Yosuke Tomoe wrote:
Eine kleine Frage: Sind die states nur Abkürzungen für die Flags? Es gibt ja die Flags: SYN, ACK, FIN, RST, URG, PSH (ALL und NONE)
Wäre dann z. B. --tcp-flags SYN,ACK,FIN SYN (= --syn) dasselbe wie: --state NEW? nein. NEW bezieht sich auf den verbindungsaufbau. bei tcp (=Transmission Control Protocol) geschieht der verbindungaufbau durch einen 3 wege handshake. wenn 'ich' eine verbindung oeffnen moechte, so wuerde ich einpacket mit gesetztem SYN flag schicken. dieses bekomme ich durch ein ACK bestaetigt. zueltzt erhalte ich noch ein packet mit gesetztem SYN flag.
D.h. wenn ich bei meiner FW statt --syn ein --state NEW nehme bin ich sicherer, weil dann gleich der ganze Datenaufbau geblockt wird, oder? (Ach ja das state NEW funzt ja auch bei UDP und ICMP. Ist also sowieso besser)
aufbau state NEW ^^^ du meinst SYN, nicht? antwort ACK SYN datentransfer ACK datenende ACK FIN PSH bestaetigung ACK
Kann ich das so machen: iptables -F iptables -A FORWARD -i ppp0 --state NEW -j DENY iptables -A FORWARD --state INVALID -j DENY iptables -A FORWARD -p tcp --tcp-flags ALL SYN -j filter iptables -A FORWARD -p tcp --tcp-flags ALL ACK,SYN -j filter iptables -A FORWARD -p tcp --tcp-flags ALL ACK -j filter iptables -A FORWARD -p tcp --tcp-flags ALL ACK,FIN,PSH -j filter iptables -A FORWARD -p tcp -j DROP (in -A filter sind die jetzigen Regeln für tcp) Oder kann man das so sowieso nicht machen?
Was ist der Unterschied zwischen --tcp-flags SYN,ACK,FIN SYN und --tcp-flags ALL SYN? ALL matched auf xmas (s.u.) ersteres nicht. Und welche Kombinationen sind überhaupt möglich bzw. kann ein Hacker alle Flags individuell setzen? es gibt durchaus tools, mit denen sich ein eigenes tcpip packet zusammengebauen laesst. so zb auch ein xmas packet. ein xmas packet heisst so, weil alle flags an sind.
Und was bewirkt das? Ich nehme an einen Verbindungsaufbau, oder?
Martin Neuditschko heisst du nun Yosuke Tomoe oder Martin Neuditschko ?
Ersteres ist nur ein Nick. Habe ich jetzt geändert. -- mfg Martin Neuditschko