Michael wrote:
Am Montag, 20. September 2004 09:58 schrieb Jürgen Knelangen:
[...]
Man könnte dieses Verhalten asozial nennen. http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
| DROP offers no effective barrier to hostile forces but | can dramatically slow down applications run by legitimate | users.
Also Jürgen Knelangen, man muß Leuten nicht gleich asoziales Verhalten vorwerfen nur weil sie Verbindungen Droppen und nicht Rejecten. Da brauch man sich dann auch nicht über entsprechende gegenreaktionen zu wundern wie sie am Ende Eures Disputs nachzulesen sind. Zumal mir auch nicht ganz klar ist welches denn die "legitimen User" sein sollen die da in Mitleidenschaft gezogen werden.
Na ja, im vorliegenden Fall (Dial-In User) gibt es i.d.R überhaupt keine "legitimen User", die von aussen eine Verbindung initiieren können sollten. Die einzig legalen eingehenden Pakete sind die Antworten auf selber generierte Requests. (Da man mit einer solchen Konfiguration keine Dienste anbietet)
Liegt wahrscheinlich daran das ich den Text unter der o.g. Adresse nicht vollständig verstehe.
Das kann schon sein; kann ich nicht beurteilen.
Vielleicht könntest Du ja das noch mal mit eigenen Worten erklären, man möchte sich schließlich nicht asozial verhalten, oder gar Leute schädigen...nur weil man Dropt.
Also ich versuchs mal mit einfachen Worten: Viele "droppen" die Pakete, weil a) keine Antwort über die Leitung geht und (vermeintlich) der Traffic damit geringer gehalten wird b) man "vermeintlich" einem Angreifer keine Informationen über die Existenz eines Rechners mit dieser IP gibt. Andererseits würde bei einem Reject a) der Requestor auf seinen Verbindungswunsch einen Reject erhalten und es nicht bis zum Timeout n-mal wieder versuchen b) der Gesamttraffic damit insgesmat vermutlich sogar niedriger, weil jeder Requestor sofort erkennen kann, das die Verbindung abgelehnt wird (und nicht etwa wegen Netzstörung o.ä. nur langsam ist). Die 100 Retries wären dann gar nicht nötig (gescheite Software vorausgesetzt). Ferner ist ein Port-Scan damit nicht effektiv auszuhebeln, da ein "DROP" einen guten Scanner nicht blockiert. Andreas