Re: 3washas

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: devel@sikurezza.org
Soggetto: Re: 3washas
Mittente: vecna
Data: 10 Jun 2002 20:27:38 -0000

On Tue, Jun 11, 2002 at 07:25:23PM +0200, thefly wrote:
~ ok, pero' tutto questo non spiega la descrizione allegata: sostengono
~ che il loro DoS raggiri i syncookies. Non mi sembra corretto utilizzare
~ questo tipo di spiegazione, infatti potrebbe raggirare qualunque tipo di
~ protezione visto che si basa sullo sniffing (a me pareva e a quanto pare
~ anche a gigi)... il punto appunto era se si trattasse di sniffing o 
~ se davvero avessero trovato un metodo efficace per predirre il cookie.
in un certo senso ... e` vero... cioe`, i syncookies furono inventati
apposta perche` bastava un SYN per assegnare una delle connessione che
la listen() sta` ad ascoltare.

ancora dopo anni, se uno esegue un tot di connect() complete comunque
riempie questo limite di connessioni, mettendo fuori uso il servizio.

anche i netstrike alla fine, si pensa che si basino sulla saturazione 
della banda del server attaccato a causa di grossi download, ma e` facile
che il mancamento di servizio causato al webserver e` dovuto al fatto che
tutte le connessioni possibili vengono occupate, non tanto dal flusso di
dati.

tempo fa avevo fatto un test a riguardo, e` facile, ma veramente facile
riempire le connessioni possibili di un webserver, almeno finche` ne
supporta 512. a noi basta fare 512 connect() ciclicamente, l'unico limite
che abbiamo (a parte la banda) e` quello dei file descriptor per ogni 
processo (ma come ogni problema/limitazione client-side puo` essere facilmente
bypassata) a quel punto il server web e` completamente bloccato, non accettara`
+ connessioni, anche se ha banda ed anche se non e` vittima di nessun
attacco in particolare.

poco a poco le connessioni muoiono per timeout, ma non sarebbe difficile 
inviare un pacchetto ogni tanto, affinche` tenere le risorse saturate con
il minor dispendio di energie.

l'unico modo per bloccare un attacco di questo genere sarebbe, IMHO,
LIMITARE IL NUMERO DI CONNESSIONI CONTEMPORANEE CHE PUO` AVERE UN HOST,
almeno per impedire ad uno con un 56k di farsi partre 3 shellscript
con netcat che ti riempiono la listen(). 

ok, ci sono webserver che supportano 100.000 hits al giorno.

ma i mailserver di un provider ? ssh ? non possono rischiare la stessa cosa ?.

eppure dopo anni non c'e` ancora una patch adeguata.


ciao ciao,
vecna
-- 
<free suicide motivation>: http://www.mines.edu/students/b/bolmstea/malbolge/

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: 3washas, antirez

In risposta a:
- 3washas, thefly
- Re: 3washas, FuSyS
- Re: 3washas, thefly

Data:
- precedente: Re: 3washas, thefly
- successivo: Re: 3washas, FuSyS
- indice

Argomento:
- precedente: Re: 3washas, thefly
- successivo: Re: 3washas, antirez
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005