* Heiko Degenhardt wrote on Thu, Apr 27, 2000 at 08:41 +0200:
Steffen Dettmer wrote:
[SYN <--> ACK]
(War wohl gestern eindeutig zu warm hier auf Arbeit).
:)
Ich habe z.B. sowas wie $IPCHAINS -A input -p tcp -y -s 0/0 -d $WWWIP ! 80 -l -j DENY auf meinem Web-Server.
IIRC bedeutet das: alle tcp-Packete (-s 0/0 ist default wenn nicht angeben), die SYN, nicht ACK, nicht FIN zu einem Port != 80 aufbauen wollen, blocken. Damit sollten FIN, Xmas Tree und Null scans gegen Deinen Server funktionieren,
Es sollte eigentlich nichts zurueckkommen, da standartmaessig sowieso alles geblockt wird.
Also: Die Regel sagt: blocke SYN != port 80, und eine weitere sagt dann: blocke auch Rest != port 80, ja? Na, Du mußt Deine Regeln ja lesen können :)
da SYN nie gesetzt sein sollte, und Deine Regel nie zutrifft, also nie geblockt wird.
Sie wird aber angewendet. Dazu ein aktuelles Beispiel: pkt byte targ prot opt ... if ... source destination ports 79 3800 DENY tcp -y--l- ... * 0/0 195.37.62.127 * -> !80 ... Apr 26 07:59:49 www kernel: Packet log: input DENY eth0 PROTO=6 209.197.208.205:4252 195.37.62.127:8080 L=48 S=0x00 I=58544 F=0x4000 T=110 SYN (#8)
Da war ein SYN bit gesetzt. Das ist ja bei FIN-Scan eben nicht der Fall.
Falls also jemand andere Vorschlaege hat...
Probier' das doch spaßes-/sicherheitshalber einfach mal aus: z.B.: nmap -P0 -sF -p70-90 www.you.tld (Aber wie gesagt, damit sollte man so erstmal auch nicht allzuviel anfangen können; muß man mal schauen, ob und welche Angriffe/DoS ohne SYN auskommen. Aber ein DoS gegen einen WWW-Server sollte sowieso einfach sein, also vermutlich kein zusätzliches Risiko.) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com