Hlavní navigace

Názor k aktualitě Web Alza.cz může být nedostupný. Podle firmy někdo zkouší dát jeho IP adresu na blacklisty od Danny - Jedine, ceho jde dosahnout je pokus o odrazeny...

  • 10. 11. 2020 8:03

    Danny

    Jedine, ceho jde dosahnout je pokus o odrazeny utok, nic vic. Utocnik spoofne zdrojovou adresu, posle SYN s tim, ze ty "scanovane" cilove IP odpovi - at uz RST, nebo SYN/ACK, kdy se ocekava, ze obet musi nasledne ten paket nejak zpracovat... takovych utoku jsou v praxi mraky kazdy den - a rozhodne se neomezuji jen na proflakle UDP-based sluzby typu DNS, NTP atd. Na realny/funkcni scan je te technika spoofingu kazdopadne nepouzitelna.

    Ano, z pohledu obeti s tim nic moc udelat nelze. To, ze se v ramci "uspor" na BCP38 / RFC2827 v mnoha sitich kasle a vstup od zakazniku se nefiltruje je jiny problem. Tim spis je ale hloupost stavet blacklisty zrovna na zaklade spoofnuteho provozu a prohlasovat je za "mozny scan". Ulohou narodnich autorit typu CSIRT.CZ by melo byt toto v ramci komunity (a treba i smerem k provozovatelum tech ne zcela inteligentne fungujicich blacklistu) vysvetlovat. Ono jedna vec je mit "surovou" informaci z nejakeho IDS/IPS/honeypotu, ale i spravne vyhodnoceni takto ziskane informace je v tomto pripade nemene dulezite. A meli by si to uvedomit i ti, kteri ty informace z blacklistu (tupe) prebiraji do svych "bezpecnostnich" reseni ovlivnujici chovani koncovych prohlizecu...