[LUGOS-SEC] Re: [LUGOS] IDS

Jure Koren jure at aufbix.org
Sun Jul 4 13:57:09 CEST 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Sunday 04 July 2004 13:01, Saso wrote:
> TCP je star dobrih 23 let, kar pomeni, da bomo cez dobrih 7 let imeli
> kar velike Internet pipe.
> 2 milijardi paketkov = 2,000,000,000 paketkov.
> TCP header je minimalno 20 bytov = 160 bitov
> IP header je minimalno 20 bytov = 160 bitov
>
> 2,000,000,000 x (160+160) = 640,000,000,000 bitov
>
> Pa delimo to na 15 sekund: 640,000,000,000b / 15s = 42,666,666,667b/s
>
> Kar je skoraj 40Gbps. Dobra pipca, ni kaj. Seveda bos rabil primerno
> mocan racunalnik, da bos lahko optimalno izrabil tako pipco.

To je teoreticni maksimum, ce upostevas TCP window size in hitrost danasnjih 
"gospodinjskih povezav", je vstopni prag za izvedbo napada precej hitro v 
rokah skriptnih pamzev. V praksi lahko take vrste napad ocitno delas z majhno 
pipo (kar se je tudi zgodilo). Teoreticni maksimum je pa danes ze nizji od v 
praksi implementiranih pipc.

http://kerneltrap.org/node/view/3072 fino opise pomanjkljivosti TCPja.

> RFC 2385 iz avgusta 1998 pravi drugace:

Ce lahko sklepamo po googlovem iskanju za "vendors implementing rfc 2385" 
potem je dejansko vecina implementacij mlajsih od pol leta, ko se je razvnela 
debata o tej temi. Jaz ne dvomim v to da se bo situacija z BGP hitro 
popravila ker je od tega odvisno delovanje omrezja, ampak preden bo tako 
delal vsak node, povezan v omrezje (think web users), bo minilo dolgo casa. 
Tam jim rfc 2385 pac bolj malo pomaga.

Vsekakor lahko TCP reset napade ustavi border gateway, ki zna take reci 
zaznat. Aja, da ne bo kdo mislil, da sem nor: take reci se mi zdi pametno 
implementirat na "domacih" IDS/IPS, ne na ISPjih, kjer dejansko spuscas skozi 
par Mpps ali vec.

Na prvem linku ki mi ga google najde za ta search tudi pise o tem da lahko s 
samo stirimi poskusi zadanes tcp seq. Tezko verjet ampak tudi 4000 je tako 
malo paketov, da jih DSL pljune ven dovolj hitro. Spet ne govorimo toliko o 
BGP ampak o cemerkoli, kar se nosi v TCPju.

> In? IPSec je stara zadeva, kolikor mi je znano.

Da, in se vedno ni v splosni uporabi. Meni se zdi da bi bilo za IPv6 veliko 
bolje, ce bi IPsec bil mandatory.

> In o katerih vendorjih govorimo?

Ce jaz prav berem cenike je IPsec pri IOS optional (ni v standard IP) in je 
torej treba za to funkcionalnost placat ekstra. Pa saj nima veze, koncni 
problem je se vedno to da je vecina masin na internetu ranljivih za take 
napade. To je bug v TCP specifikaciji, ocitno.

- -- 
Jure Koren, n.i.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (Darwin)

iD8DBQFA5/CV9iFCvmuhrCIRAmKrAJwLRf1ahkZ8iUghmflaluUiWSBUbgCcCuQf
p8TTjrjDKV4Uah5mXPZuniM=
=8j+C
-----END PGP SIGNATURE-----

More information about the lugos-sec mailing list