Re: Apache e default.ida

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2003 ml@sikurezza.org
Soggetto: Re: Apache e default.ida
Mittente: Tommaso Di Donato
Data: 26 Jul 2003 17:11:37 -0000

Ciao!
Scusa, ma non sono d'accordo. La patch per lo string matching ha un
problema: se droppi il pacchetto contenente la stringa, vedrai che sul
tuo web server rimane una connessione aperta ma "in stallo" (questo
perchè netfilter è appunto un packet filter, non un proxy!): la
connessione è aperta (c'è già stato il three-way handshaking del TCP),
ma mai chiusa. Quindi, il client remoto sa che il server è vivo, e
rimane una connessione aperta fichè non va in timeout. Ti esponi quindi
ad un DoS: se un attaccante lo capisce, gli bastano 5 secondi per
scrivere un programmino che itera una richiesta di default.ida, e dopo
poco ti impalla la macchina.
Io ti propongo di usare un proxy firewall (squid lo fa benissimo): avevo
buttato giù un mini-howto molto di basso livello, se ti interessa lo
trovi sul PLUTO:
http://www.pluto.linux.it/journal/pj0301/applic_proxy.html

Spero possa servirti.. è una base di partenza!

Dido

On Wed, 2003-07-23 at 20:05, hypnos wrote:
> http://www.netfilter.org > patch-o-matic
> 
> applica la patch match string e poi droppi i pacchetti incriminati
> 
> ciao
> Mario

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Apache e default.ida, Andrea Riela
- Re: Apache e default.ida, hypnos

Data:
- precedente: Re: VPN e fastweb, Giovanni
- successivo: Re: identificazione dei pc di una lan, Vetturi Michele
- indice

Argomento:
- precedente: Re: Apache e default.ida, hypnos
- successivo: Re: Apache e default.ida, sikuz
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005