forum.opennet.ru - "OpenNews: ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
Сообщение от opennews on 13-Янв-06, 12:45
В пакетном фильтре ipfw, входящем в состав FreeBSD 6.0, обнаружена неприятная уязвимость (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A04.ipfw.asc). Удаленный злоумышленник может вызвать отказ в обслуживании отправив специально сформированный пакет, подпадающий под "reset", "reject" или "unreach" правило фаервола. Проблем можно избежать заменив все "reset", "reject" и "unreach" действия на "deny". Также опубликованы еще три сообщения о незначительных проблемах безопасности во входящих в базовую поставку FreeBSD 6.0 приложений: - Multiple vulnerabilities cpio (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A03.cpio.asc); - ee temporary file privilege escalation (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A02.ee.asc); - Texindex temporary file privilege escalation (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A01.texindex.asc). URL: ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A04.ipfw.asc Новость: http://www.opennet.dev/opennews/art.shtml?num=6785
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

Оглавление

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, Аноним, 12:45 , 13-Янв-06, (1)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, ws, 13:54 , 13-Янв-06, (5)
ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, cp dev, 13:38 , 13-Янв-06, (3)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, Аноним, 13:53 , 13-Янв-06, (4)
ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, link, 19:46 , 14-Янв-06, (19)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, Wulf, 01:36 , 15-Янв-06, (20)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, link, 14:14 , 15-Янв-06, (22)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, Wulf, 17:00 , 15-Янв-06, (23)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, chip, 17:02 , 15-Янв-06, (24)
ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, chip, 17:02 , 15-Янв-06, (25)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, Wulf, 14:51 , 16-Янв-06, (28)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, airo, 12:09 , 15-Янв-06, (21)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, impatt, 08:05 , 16-Янв-06, (26)

ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке, scum, 18:05 , 17-Янв-06, (29)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от Аноним on 13-Янв-06, 12:45

В чем выражается отказ в обслуживании ? kernel panic ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

5. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от ws (ok) on 13-Янв-06, 13:54

нормальные allow пакеты перестают проходить...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от cp dev on 13-Янв-06, 13:38

thanx for founded bug + respect

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

4. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от Аноним on 13-Янв-06, 13:53

а я по жизни только deny и прописывал :-(

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от link (??) on 14-Янв-06, 19:46

весёлый был тред, я хохотал до упаду. Особенно первый: "ну вот, началось!" :-))
Что можно сказать то здесь не в оффтопик?!
Ну нашли уязвимость, исправят теперь. Молодцы! Я тоже, кстати, кроме deny ничем не пользовался раньше. Даже и не знал о таких возможностях, надо почитать.
Надо вообще делать поменьше всяких прибамбахов. Нафиг они нужны, если никто не юзАет? KISS!
И pf я тоже юзаю. удобно пользовать pf для NAT и для логгинга, а ipfw для фильтрации. Незнаю, правда, эффективно ли это? в ядре сразу два фильтра наверное медленнее работает, чем один.
Спасибо разработчикам!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

20. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от Wulf on 15-Янв-06, 01:36

> Я тоже, кстати, кроме deny ничем не пользовался раньше. Даже и не знал о таких возможностях, надо почитать.
Зря так. На компах через которые проходит веб-трафик, пакеты на как минимум один порт (113) надо не дропать, а режектить(т.е. ICMP посылать в ответ). Иначе часть сайтов (в основном - форумов) тормозить будет. Причем сильно.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

22. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от link (??) on 15-Янв-06, 14:14

Да, хотелось юы поподробнее узнать, в чем разница?
Нет ссылочки под рукой на разжёванное?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

23. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от Wulf on 15-Янв-06, 17:00

>Да, хотелось юы поподробнее узнать, в чем разница?
>Нет ссылочки под рукой на разжёванное?
Некотарая часть сайтов при запросе страниц пытаются установить встречное соединение по этому порту. Если оно отбивается с port unreachable - то отдача страницы продолжается дальше сразу. Если в правилах стоит deny и в ответ ничего не приходит, то отдача страницы продолжается только по истечении таймаута на SYN+ACK ответ.
Для чего они так делают я точно не знаю, ответ можно поискать в RFC на auth сервис которому выделен этот порт.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

24. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от chip (ok) on 15-Янв-06, 17:02

>>Да, хотелось юы поподробнее узнать, в чем разница?
>>Нет ссылочки под рукой на разжёванное?
>
>Некотарая часть сайтов при запросе страниц пытаются установить встречное соединение по этому
>порту. Если оно отбивается с port unreachable - то отдача страницы
>продолжается дальше сразу. Если в правилах стоит deny и в ответ
>ничего не приходит, то отдача страницы продолжается только по истечении таймаута
>на SYN+ACK ответ.
>Для чего они так делают я точно не знаю, ответ можно поискать
>в RFC на auth сервис которому выделен этот порт.
Чего-то я первый раз об этом слышу. Но, ИМХО, какая-то наркотическая практика, напоминающая active ftp transfer.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

25. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от chip (ok) on 15-Янв-06, 17:02

>Для чего они так делают я точно не знаю, ответ можно поискать
>в RFC на auth сервис которому выделен этот порт.
Кстати, а можно URL'ы подобных ресурсов?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

28. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от Wulf on 16-Янв-06, 14:51

> Кстати, а можно URL'ы подобных ресурсов?
Поскольку с этими граблями лет 5 назад разбирался, сейчас не вспомню. Тогда таких сайтов было немало.
Из того, что сейчас есть, можно глянуть, например, http://www.math.uwaterloo.ca/mfcf/faq/www_browse.html#www/ident_timeout.faq - описание решения этой проблемы для http://www.math.uwaterloo.ca/mfcf/, но где там такие страницы расположены - не знаю, не искал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

21. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от airo on 15-Янв-06, 12:09

поподробнее, почему так происходит? режектить надо на шлюзах?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

26. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от impatt (??) on 16-Янв-06, 08:05

>поподробнее, почему так происходит? режектить надо на шлюзах?
Боюсь оскорбить BSD-шников (судя по долгим наблюдениям за форумом на opennet, многие из высказывающихся - воинствующие снобы), но моё мнение такое: режектить надо всё, что не нужно пропускать, за исключением случаев явных атак, ибо ICMP сообщение о недостижимости сервиса убыстряет, облегчает (и всё такое) отладку сети другими жителями интернета.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

29. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"

Сообщение от scum (??) on 17-Янв-06, 18:05

>судя по долгим наблюдениям за форумом на opennet, многие
>из высказывающихся - воинствующие снобы
согласен на 100%, но все таки лучше воинствующие снобы, чем воинствующие пустозвоны (это я про нехилую армия линуксоидов), правда?
А вот с мнением про тотальный reject я бы не согласился. Не надо забывать, что помимо админов есть еще и люди, занимающиеся безопасностью. Зачастую такие товарищи просто вынуждены в своей работе пользоваться разными там инструкциями и циркулярами, которые в основном требуют режектить траффик на локальных интерфейсах и тихо сбрасывать на внешних. Такие правила существуют не для красного словца, а почему так - это тема для нехилой статьи.
Могу посоветовать простой тест - сперва посканировать с помощью nmap firewall с правилами сброса типа deny, а потом заменить deny на reject и сравнить время, которое ушло на первый и второй скан. Для взломщика может такая разница и не важна, а вот безопаснику лишние несколько минут форы никогда не помешают. Опять же, больше режектов, более точный результат сканирования хоста на предмет определения действующих правил фильтрации. И т.д и т.п.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
Сообщение от Аноним on 13-Янв-06, 12:45
В чем выражается отказ в обслуживании ? kernel panic ?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	5. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от ws (ok) on 13-Янв-06, 13:54
	нормальные allow пакеты перестают проходить...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	3. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от cp dev on 13-Янв-06, 13:38
	thanx for founded bug + respect
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

4. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
Сообщение от Аноним on 13-Янв-06, 13:53
а я по жизни только deny и прописывал :-(
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

19. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
Сообщение от link (??) on 14-Янв-06, 19:46
весёлый был тред, я хохотал до упаду. Особенно первый: "ну вот, началось!" :-)) Что можно сказать то здесь не в оффтопик?! Ну нашли уязвимость, исправят теперь. Молодцы! Я тоже, кстати, кроме deny ничем не пользовался раньше. Даже и не знал о таких возможностях, надо почитать. Надо вообще делать поменьше всяких прибамбахов. Нафиг они нужны, если никто не юзАет? KISS! И pf я тоже юзаю. удобно пользовать pf для NAT и для логгинга, а ipfw для фильтрации. Незнаю, правда, эффективно ли это? в ядре сразу два фильтра наверное медленнее работает, чем один. Спасибо разработчикам!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	20. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от Wulf on 15-Янв-06, 01:36
	> Я тоже, кстати, кроме deny ничем не пользовался раньше. Даже и не знал о таких возможностях, надо почитать. Зря так. На компах через которые проходит веб-трафик, пакеты на как минимум один порт (113) надо не дропать, а режектить(т.е. ICMP посылать в ответ). Иначе часть сайтов (в основном - форумов) тормозить будет. Причем сильно.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	22. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от link (??) on 15-Янв-06, 14:14
	Да, хотелось юы поподробнее узнать, в чем разница? Нет ссылочки под рукой на разжёванное?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	23. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от Wulf on 15-Янв-06, 17:00
	>Да, хотелось юы поподробнее узнать, в чем разница? >Нет ссылочки под рукой на разжёванное? Некотарая часть сайтов при запросе страниц пытаются установить встречное соединение по этому порту. Если оно отбивается с port unreachable - то отдача страницы продолжается дальше сразу. Если в правилах стоит deny и в ответ ничего не приходит, то отдача страницы продолжается только по истечении таймаута на SYN+ACK ответ. Для чего они так делают я точно не знаю, ответ можно поискать в RFC на auth сервис которому выделен этот порт.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	24. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от chip (ok) on 15-Янв-06, 17:02
	>>Да, хотелось юы поподробнее узнать, в чем разница? >>Нет ссылочки под рукой на разжёванное? > >Некотарая часть сайтов при запросе страниц пытаются установить встречное соединение по этому >порту. Если оно отбивается с port unreachable - то отдача страницы >продолжается дальше сразу. Если в правилах стоит deny и в ответ >ничего не приходит, то отдача страницы продолжается только по истечении таймаута >на SYN+ACK ответ. >Для чего они так делают я точно не знаю, ответ можно поискать >в RFC на auth сервис которому выделен этот порт. Чего-то я первый раз об этом слышу. Но, ИМХО, какая-то наркотическая практика, напоминающая active ftp transfer.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	25. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от chip (ok) on 15-Янв-06, 17:02
	>Для чего они так делают я точно не знаю, ответ можно поискать >в RFC на auth сервис которому выделен этот порт. Кстати, а можно URL'ы подобных ресурсов?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	28. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от Wulf on 16-Янв-06, 14:51
	> Кстати, а можно URL'ы подобных ресурсов? Поскольку с этими граблями лет 5 назад разбирался, сейчас не вспомню. Тогда таких сайтов было немало. Из того, что сейчас есть, можно глянуть, например, http://www.math.uwaterloo.ca/mfcf/faq/www_browse.html#www/ident_timeout.faq - описание решения этой проблемы для http://www.math.uwaterloo.ca/mfcf/, но где там такие страницы расположены - не знаю, не искал.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

21. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
Сообщение от airo on 15-Янв-06, 12:09
поподробнее, почему так происходит? режектить надо на шлюзах?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	26. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от impatt (??) on 16-Янв-06, 08:05
	>поподробнее, почему так происходит? режектить надо на шлюзах? Боюсь оскорбить BSD-шников (судя по долгим наблюдениям за форумом на opennet, многие из высказывающихся - воинствующие снобы), но моё мнение такое: режектить надо всё, что не нужно пропускать, за исключением случаев явных атак, ибо ICMP сообщение о недостижимости сервиса убыстряет, облегчает (и всё такое) отладку сети другими жителями интернета.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	29. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
	Сообщение от scum (??) on 17-Янв-06, 18:05
	>судя по долгим наблюдениям за форумом на opennet, многие >из высказывающихся - воинствующие снобы согласен на 100%, но все таки лучше воинствующие снобы, чем воинствующие пустозвоны (это я про нехилую армия линуксоидов), правда? А вот с мнением про тотальный reject я бы не согласился. Не надо забывать, что помимо админов есть еще и люди, занимающиеся безопасностью. Зачастую такие товарищи просто вынуждены в своей работе пользоваться разными там инструкциями и циркулярами, которые в основном требуют режектить траффик на локальных интерфейсах и тихо сбрасывать на внешних. Такие правила существуют не для красного словца, а почему так - это тема для нехилой статьи. Могу посоветовать простой тест - сперва посканировать с помощью nmap firewall с правилами сброса типа deny, а потом заменить deny на reject и сравнить время, которое ушло на первый и второй скан. Для взломщика может такая разница и не важна, а вот безопаснику лишние несколько минут форы никогда не помешают. Опять же, больше режектов, более точный результат сканирования хоста на предмет определения действующих правил фильтрации. И т.д и т.п.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^