gildot Topo Sobre FAQ Tópicos Autores Preferências Artigos Sondagens Propor artigo 8/3 gildicas 9/30 jobs 10/9 perguntas 10/25 press		Smurf usando serviços UDP Contribuído por joao em 23-01-03 14:14 do departamento vulnerabilidades Eraser escreve "Viva! Como já é sabido a cada dia que passa protocolos e serviços defenidos para uma internet aberta acabam por ser abusados para fins menos nobres. Neste caso refiro-me em especial a alguns serviços a utilizarem UDP que já eram conhecidos/utilizados no underground para DDoS e que agora parecem estar a vir ao grande público. Um exemplo é utilização de servidores de jogos que utilizem o GameSpy. Conforme noticiado PTNix e também aqui . A pergunta que fica é: "Com que velocidade a internet vai ser capaz de reagir a este problema?". Os possíveis serviços capazes de serem abusados parecem ser mais que muitos. Infelizmente, acho que é só uma questão de dias até sair mais uma ferramenta "point&click" para fazer DDoS utilizando esses mesmos serviços. Pior ainda, é o facto de isto já ser conhecido a algum tempo mas tipicamente as medidas só são tomadas depois de alguém ter saido prejudicado. Venham daí esses bitaites! E não percam os próximos episódisos porque....Já sabem o resto! ;) Fiquem bem! Eraser " <  Tribunal: ISPs têm de ajudar discográficas | Acordo entre a BitStream e o Gnome  >	gildot Login Login: Password: Referências PTNix aqui Mais acerca Teenagers com demasiado tempo livre... Também por joao
	Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. Firewalls. (Pontos:2) por leitao em 23-01-03 14:56 GMT (#1) (Utilizador Info) http://scaletrix.com/nuno/ A pergunta que fica é: "Com que velocidade a internet vai ser capaz de reagir a este problema?". Firewalls ? "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded." Re:Firewalls. (Pontos:2) por Eraser em 23-01-03 15:56 GMT (#2) (Utilizador Info) Boas, Leitão! Firewalls não me parecem resolver o problema. Os pedidos são genuínos mas com o ip "spoofed". Estamos a falar de uma utilização normal ou seja o servidor não tem como saber que o ip foi manipulado. O facto de serem serviços a utilizarem udp torna demasiado fácil fazer com que o pedido pareça genuíno. Esta é a minha opinião mas se calhar estou enganado ou estou-me a esquecer de alguma coisa. Podes explicar melhor isso de utilizar firewalls para impedir que um servidor responda a um pedido normal mas "spoofed"? Fica bem! JP Re:Firewalls. (Pontos:2) por leitao em 23-01-03 16:30 GMT (#3) (Utilizador Info) http://scaletrix.com/nuno/ Esta é a minha opinião mas se calhar estou enganado ou estou-me a esquecer de alguma coisa. Podes explicar melhor isso de utilizar firewalls para impedir que um servidor responda a um pedido normal mas "spoofed"? O que quero dizer e' que exactamente por os servicos serem baseados em UDP, torna-se dificil fazer DOS. Por exemplo, qualquer farm de web-hosting tem uma firewall 'a frente que impede todo e qualquer trafego senao TCP/80/443 de passar. i.e., ficas restrito a fazer DOS de servidores de jogos a correr UDP... o que nao e' necessariamente grave :-) "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded." Re:Firewalls. (Pontos:4, Informativo) por Eraser em 23-01-03 16:56 GMT (#4) (Utilizador Info) O problema continua a existir já que uma pequena quantidade de dados pode dar origem a uma grande quantidade de dados. Por outras palavras, a largura de banda é um recurso limitadoe precioso. A firewall pode fazer drop de pacotes mas se a largura de banda ficar esgotada existe DOS. Acho que as medidas que mais poderiam ajudar a controlar este possível problema seriam: - Do lado dos serviços udp utilizados para causar o DOS, se garantissem algum tipo de handshake (a nível aplicacional, por exemplo) dificultavam muito a utilização dos seus serviços para fins indevidos. - do lado dos alvos minizar os pacotes permitidos ao únicos refentes ao serviços que estão a fornecer (conforme referiste). - do lado dos ISPs pode se impedir que pacotes que venham da rede deles mas com ip de outra rede possam seguir para o resto da internet. Isto permite controlar e dimuir um pouco o spoofing mas não acaba completamente com ele. Mais uma vez é só a minha opinião. Posso não estar a ver "the big picture". Fica bem! JP Re:Firewalls. (Pontos:2) por leitao em 23-01-03 17:07 GMT (#5) (Utilizador Info) http://scaletrix.com/nuno/ Mais uma vez é só a minha opinião. Posso não estar a ver "the big picture". Nope -- estas perfeitamente correcto :-) "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded." Re:Firewalls. (Pontos:2) por racme em 24-01-03 1:46 GMT (#6) (Utilizador Info) http://rmitz.org/freebsd.daemon.html nada que um drop by inactivity na parte do servidor de jogo nao resolva B0rn to frag! ph34r da powa of da daemon =) Re:Firewalls. (Pontos:2) por bgravato em 24-01-03 4:28 GMT (#7) (Utilizador Info) Conheço alguns ISP's que há muito que têm essa política de "barrar" a saída de pacotes que não tenham um [endereço] ip "dos seus" para o exterior... Se todos os ISP's optassem por esta política, só seria possível fazer esse tipo de DoS a alguem a usar o mesmo ISP... Actualmente não faço ideia quantos ISP's nacionais são adeptos desta política. Cumprimentos, Bruno Gravato.