LINUX.ORG.RU

Протокол ICMP небезопасен


0

0

Согласно недавним исследованиям дизайн протокола ICMP изначально содержит уязвимости и приводит к серьёзнейшим проблемам в безопасности сетевого стека. На сегодняшний день только операционная система OpenBSD полностью защищает от атак посредством ICMP.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Да, что сисько, что некрософт - ублюдки конченые: за такие вещи с патентами надо просто закрывать такие фирмочки, с возвратом денег потребителям, чтобы другим не повадно было...

anonymous
()
Ответ на: комментарий от anonymous

Угу. Вот из-за таких статей красноглазые пионэры закрывают у себя ICMP фильтрами, а потом удивляются (например, "почему у меня по ftp файлы не качаются с некоторых сайтов" - MTU path discovery не работает).И тд.

vlTepes
()
Ответ на: комментарий от vlTepes

Не говори "гоп" пока не перепрыгнешь.

Deleted
()
Ответ на: комментарий от anonymous

> пипец! мужыки , сеть это тоже уязвимость

Точно. По сети блуждают пакеты, они могут украсть ваши файлы. А ещё там есть спамы, куки и пр.

yozhhh ★★★
()

> Theo was impressed by the ideas, and as Fernando was already heading to BSDCan, Theo helped arrange for him to stay in Canada longer to attend CanSecWest and the OpenBSD hackathon. At the hackathon, Fernando worked around the clock to implement some of his suggested fixes into the OpenBSD networking stack, during which time I spoke with him.

Ясно. Опять длинные уши Тео замаячили на заднем плане.

anonymous
()
Ответ на: комментарий от yozhhh

>Точно. По сети блуждают пакеты, они могут украсть ваши файлы. А ещё там есть спамы, куки и пр.

Троянские кони... ;-))))

MiracleMan ★★★★★
()
Ответ на: комментарий от anonymous

> Following the public disclosure of Fernando's findings, the media began to discuss the flaws in ICMP. "Instead of contacting at least NISCC, or myself, they contacted the affected parties," Fernando explained. "For example, ZD-NET contacted Microsoft and thus came to the conclusion that there was no problem, that the only way for the attack to work was for the attacker to sniff traffic on the network. This isn't true! It seems the reporters hadn't even read the draft and thus didn't understand what is wrong with ICMP. What's even worse, it seems that they nor the contact at Microsoft realize what the word 'blind' means in each of the attacks." As discussed earlier, due to the fact that most vendors didn't even check the TCP sequence number of packets within ICMP errors, an attacker could blindly spoof ICMP errors and thus trivially exploit these vulnerabilities.

Улёт. M$ заявляет, что сама переписала TCP/IP-стек, и в нём bsd-кода не осталось. Так что, не судьба была исправить такие очевидные недоделки?

anonymous
()

незря microsoft.com не пингуется

vadiml ★★★★★
()
Ответ на: комментарий от sergeil

> Не интересно. broadcast не маршрутизируется.

А ты хотел, чтоб он ещё через NAT проходил и весь интернет захламлял? :)

anonymous
()
Ответ на: комментарий от anonymous

> Ясно. Опять длинные уши Тео замаячили на заднем плане.

а тебе его лавры покоя не дают ?

anonymous
()
Ответ на: комментарий от anonymous

> а тебе его лавры покоя не дают ?

Нет, меня смешат его попытки отпиарить OpenBSD. И хоть куда-нибудь её пропихнуть :)

anonymous
()
Ответ на: комментарий от anonymous

> Нет, меня смешат его попытки отпиарить OpenBSD. И хоть куда-нибудь её пропихнуть :)

за своим столмэном следи лучше . больше клоун чем столмэн только жириновский

anonymous
()
Ответ на: комментарий от anonymous

> больше клоун чем столмэн только жириновский

Не, самые классные клоуны - анонимусы на LOR'е, факт!

Spectr ★★★
()
Ответ на: комментарий от anonymous

>>>больше клоун чем столмэн только жириновский ...

ls --version ls (coreutils) 5.2.1 Written by Richard Stallman and David MacKenzie.

Я все понял - Линус Товальд - это творческий псевдоним жирика 8)))))

V0ID ★★★
()
Ответ на: комментарий от V0ID

>Я все понял - Линус Товальд - это творческий псевдоним жирика 8)))))

а кто же тогда эти чуваки со странными фамилиями - Тырвальд, Торвинс,Турбуленс?.. ;-)) шутить очень любим, да?

MiracleMan ★★★★★
()
Ответ на: комментарий от vlTepes

> Вот из-за таких статей красноглазые пионэры закрывают у себя ICMP
> фильтрами

ага
задолбали
а тем, кто фильтрует icmp на mail серверах, вообще надо конечности отрывать

vitamin
()

> Протокол ICMP небезопасен

В смысле небезопасен? Укусить может, что ли? :)

anonymous
()
Ответ на: комментарий от anonymous

>за своим столмэном следи лучше . больше клоун чем столмэн только жириновский

Столман не клоун. а просто религиозный фанатик. он не может быть смешон... вообще они друг друга стоят RMS И TEO. вот Линус большую симпатию вызывает несмотря на пиар. кто знает разработчиков FreeBSD? вот так надо.

anonymous
()

Да! Ещё куки, куки... И прочая нечисть... ;-)))

R_Valery ★★★
()
Ответ на: комментарий от vitamin

>а тем, кто фильтрует icmp на mail серверах, вообще надо конечности отрывать

Если не сикрет чем мешают фильтрование icmp mail серверам ?

kuta
()

Да, неплохо мужичка пособником террористов объявили. Он ведь раскрыл информацию, которую могут использовать террористы!

Покупайте оборудование Cisco, в нём реализованы антитеррористические методы. Спизжены, правда, ну да чего не сделаешь в порядке борьбы с терроризмом.

Regards, KdF.

anonymous
()

хммм... идем на security.nnov.ru и читаем:

Существуют многочисленные способы привести к обрыву TCP соединений используя ICMP атаки или некорректные значения TCP timstamp. Приложения: Windows 2000 Server, Windows 2000 Professional, HP-UX 11.00, IOS 11.2, Solaris 8, Firebox II, Solaris 7, IOS 11.1, IOS 12.1, IOS 11.0, IOS 11.3, IOS 12.2, HP-UX 11.11, Windows XP, Windows 2003 Server, IOS 12.3, FreeBSD 5.4, OpenBSD 3.7, Cisco MGX 8900, Cisco MGX 8800, Cisco MGX 8200, Aironet 350, AX7800S, AX5400S, Hitachi GR2000, Hitachi GR4000, Hitachi GS4000, Hitachi GS3000, CacheOS 3.0, CacheOS 4.0, Blue Coat Security Gateway 4.1, Avaya Intuity LX, Avaya G350, Avaya G250, Avaya IP Phones 2.0, Avaya Modular Messaging 2.0, HP-UX 11.04, Solaris 9, Firebox III, HP-UX 11.22, Cisco CSS 11000, Aironet 1200, Solaris 10, Avaya G700, Avaya MN100, Cisco SN5400, AX7800R, BIG-IP 9.1, Blue Coat Security Gateway 3.2, ONTAP 6.5, Firebox 1000, Firebox 2500, Firebox 4500, Firebox 700, Firebox SOHO, Firebox 10, Firebox 100, Firebox 60, Firebox 80, BIG-IP 4.5, BIG-IP 4.6, FreeBSD 4.11, JunOS 6.3, OpenBSD 3.6, AIX 5.3, FreeBSD 5.3, HP-UX 11.23, OpenBSD 3.5, FreeBSD 4.10 (07.07.05)

видим в списке OpenBSD, но не видим Linux... что самое интересное - даже парочка експлоитов есть :)

anonymous
()
Ответ на: комментарий от kuta

> Если не сикрет чем мешают фильтрование icmp mail серверам?

не секрет
тем, что люди почту теряют

[SMTP server1]--[ICMP filter]--[ethernet MTU 1500]--[internet cloud]--[frame relay MTU 512]--[SMTP server2]

SMTP server1 шлёт письмо на SMTP server2
MTU=1500, установлен флаг DF (большинство демонов его выставляют)
маршрутизатор в сетке, где MTU 512 говорит, извини - не пролазит (шлёт ICMP отлуп на server1 - fragmentation needed, but DF set)
файрвол перед server1 благоролучно этот ICMP фильтрует, и server1, вместо того, чтоб уменьшить MTU, до опупения тычется, потом возвращает письмо о невозможности доставки
Frame Relay для примера, годится любой пример, где MTU<1500

vitamin
()
Ответ на: комментарий от vitamin

sowrshenno werno. aktualnee dashe pppoe, MTU 1496 :-) - inogda dazhe rabotaet

anonymous
()
Ответ на: комментарий от Zloban

>> Выход простой - статичные маршруты.

Тож не панацея - это для тех тачек кто в инете не показывается своей жопой. За натом спите спокойно (пока) )))

Zloban
()

>> Протокол ICMP небезопасен

Вы только проснулись? Я уж 1.5 года экспереминтирую над вашими серваками )))) Поломал только свой, ПОКА )))))))))Мне просто скучно стало (((

Zloban
()
Ответ на: комментарий от MiracleMan

Чем я тебя повеселил, конкректней плиз!!! Быстро аргументы!Ё!! Я ж тя хоть с австралии подыму за шкварник и научу за свои слова отвечать!!! Или ты думаешь такой далекий?

Zloban
()
Ответ на: комментарий от Zloban

Zloban, ты прям с таким видом, как будто америку открываешь :))
icmp redirect никто не использует давно. Welcome to real life.
hint: книги надо читать в оригинале, tcp/ip illustrated стивенса решает и, конечно же, RFC :) а то потом возникают перлы, вроде "icmp перенаправление"..

vitamin
()
Ответ на: комментарий от vitamin

>> какая нафиг маршрутизация

Согласись ты еще не способен со мной спорить! Если я что-то говорю, я знаю, о чем я говорю. Жду с пивом и извинимми ))) Железнодорожная )))

Zloban
()
Ответ на: комментарий от Zloban

> Согласись ты еще не способен со мной спорить! Если я что-то говорю, я
> знаю, о чем я говорю. Жду с пивом и извинимми ))) Железнодорожная )))

LOL
подрасти сначала

vitamin
()
Ответ на: комментарий от vitamin

>> книги надо читать в оригинале

К сожалению отсутствия присутствия психологически страдают очень мало индивидумов женского пола, я к тому, что к тебе не потянутся... ))))

Zloban
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.