я начал писать STREAMS-модуль к Solaris для поддержки этой фичи. Кто хочет - подключайтесь!

А в Windows Server 2003 это давно уже есть.

Очередной стеб? RFC от первого апреля :)

2Dead

Ты RFC читал когда нибудь в трезвом виде ?

Глянь сюда, там это уже давно стандартная фича.

[RFC2460]

Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", RFC 2460, December 1998.

Вон OpenBSD team вообще IPv4 stack снести хочет, и работать на IPv6

Now that 3.3-release is cut, several new advances in OpenBSD can be folded in. Among them is the removal of IPv4 networking in favor of an IPv6 only stack. Said Todd Fries, who is working hard on the removal of the tightly integrated IPv4 code, "It is too hard to get IPv4 addresses, we're switching to IPv6 tomorrow."

OpenBSD leads the way yet again, this time being one of the first widely available, general purpose operating systems which can deal with tomorrow's world today. Recall that OpenBSD was quick to integrate the KAME IPv6 stack, now we're totally leading the pack on tomorrow's networking standard.

Саныч

2Sun-ch
ты лучше почитай RFC 3514 в трезвом виде, хотя бы introduction

2Sun-ch

Да просто в свете последних новостей о закрытии LOR ,как-то оно подозритльно выглядело ;-)

Команде OpenBSD можно извращаться (напоследок). Скоро эта ось
разделит участь неуловимого Джо ;)

Цытата:
3. Setting the Evil Bit

There are a number of ways in which the evil bit may be set. Attack
applications may use a suitable API to request that it be set.
Systems that do not have other mechanisms MUST provide such an API;
attack programs MUST use it.

Атакующая программа должна выставлять Злой Бит, чтобы фаервол сработал ;-)

>ты лучше почитай RFC 3514 в трезвом виде, хотя бы introduction

Сам почитай, именно для таких бестолковых, как ты написано.

Для Вас наверное, юноша, новость, что имплементация

IPv4 имеет врожденные проблемы с безопасностью, исправить

которые ПРИНЦИПИАЛЬНО нельзя.

Вот народ и смотрит в сторону IPv6, а пока он не станет

ОСНОВНЫМ протоколом inet, всегда будут появляться

разного рода костыли типа IPSEc или RFC 3514.

Саныч

"Злой" бит ;-)

There are a number of ways in which the evil bit may be set. Attack applications may use a suitable API to request that it be set. Systems that do not have other mechanisms MUST provide such an API; attack programs MUST use it.

LOL! C 1 апреля!

>Команде OpenBSD можно извращаться (напоследок). Скоро эта ось разделит участь неуловимого Джо ;)

Да она еще весь пингвилинукс переживет, вместе с его создателями.

Ты что не знаешь, что OpenBSD team очень активно финансирует DARPA ?

Именно по части разного рода секурных фичей.

For the current two year period, a number of OpenBSD security R&D initiatives are supported by DARPA and the Air Force Research Laboratory, Air Force Material Command, USAF, under agreement number F30602-01-2-0537 and also in cooperation with the POSSE project at University of Pennsylvania.

Посмотри сначала на POSSE project, а потом выступай.

Саныч

Ещё раз 2 Саныч: почитал бы ты всё таки этот rfc, хотя бы после всего сказанного.

Ещё цытата:
4. Processing of the Evil Bit

Devices such as firewalls MUST drop all inbound packets that have the
evil bit set. Packets with the evil bit off MUST NOT be dropped.

То есть фаерволы будут работать ТОЛЬКО по следующему принципу:

Если Злой Бит установлен, то пакет будет уничтожен. Если нет - ОБЯЗАН пропустить.
То есть все остальные правила не принимаются во внимание.
А если учесть как и кто этот бит устанавливает.... ж-))

2Rolex

Ты чего не въезжаешь ?

Этот бит может ставить роутер твоего провайдера, с IDS на борту.

Пров может просто дать команду типа

x.x.x.x/16 set evil

Вместо того что бы прописывать новые правила и разбираться.

И гуляй Вася, жуй морковку, весь твой трафик уйдет в /dev/null

Саныч

>Если Злой Бит установлен, то пакет будет уничтожен. Если нет - ОБЯЗАН пропустить. То есть все остальные правила не принимаются во внимание. А если учесть как и кто этот бит устанавливает.... ж-))

Конечно, вместо того что бы анализировать весь IP header,

файерволлу достаточно будет анализировать 1 бит.

Производительность может вырасти на несколько порядков !!

Саныч

Всем неверующим.

From: Theo de Raadt Subject: Re: recent security changes in openbsd Date: 1 Apr 2003 02:29:46 -0700

> On 1 Apr 2003 11:11, Theo de Raadt wrote: > > > > We feel that RFC 3514 technologies will be a a royal pain in > > the ass for the typical network attacker.

2Саныч: последняя проверка на трезвость (две предыдущих ты не прошёл):

из rfc 3514:

If the evil bit is set, a suitable random number generator
[RFC1750] must be consulted to determine if the attempt should be
logged. Similarly, if the bit is off, another random number
generator must be consulted to determine if it should be logged
despite the setting.

И ЕЩЁ!

6. IANA Considerations

This document defines the behavior of security elements for the 0x0
and 0x1 values of this bit. Behavior for other values of the bit may
be defined only by IETF consensus [RFC2434].


Пусть твои роутеры и фильтры анализируют значения Злого Бита отличные от 0 и 1, а я свои трогать пока не собираюсь ;-))

Хахахахаа! С первым апреля!

А evil bit мне понравился :-).

>з rfc 3514:

If the evil bit is set, a suitable random number generator [RFC1750] must be consulted to determine if the attempt should be logged. Similarly, if the bit is off, another random number generator must be consulted to determine if it should be logged despite the setting.

Ну и что ?

Это просто другая фича, с помощью которой можно шейпить трафик.

По английскому в школе тройка небось была ?

Саныч

Ты сначала сам то школу закончи, приколист.
Английский там проще некуда, как для тебя писали

As discussed in the ECN internet draft, the most desirable scenario for handling the ECN bits during encapsulation is as follows: the ECN-capable bit in the encapsulating ('outside') header would only be set if the ECN-capable bit is set in the encapsulated ('inside') header. When the router at the end of the tunnel decapsulates the packet, if there is a '1' for the ECN bit in the encapsulating header, it should be copied into the encapsulated header.

Бегом читать ECN internet draft

sun-ch, ты правда дурак, или притворяешься? С первым апреля тебя пыонэр

Вроде Саныч здорово всех развёл :))))))

2Sun-ch:

> x.x.x.x/16 set evil

Ну или deny ip from x.x.x.x/16 to any ;-)

А в линуксе будет Злой Бит?

OpenBSD Renamed GNU/OpenBSD Contributed by jose on Tuesday April 01, @ 12:57AM from the restructuring-under-the-flag-of-freedom dept.

After the release of OpenBSD 3.3 in May, the official project name is due for a change. "It took a great deal of debate, but we have got to acknowledge the contributions of GNU, without which GNU/OpenBSD would never have come to exist," said project member Todd Fries. There are also plans to adopt a new development model. Rather than a careful set of changes, code will be checked in and then tested, relying on the excellent feedback from the snapshot users. This excellent development model has served many others well for so many years.

We fully expect this to make the project even more creative and proactive in feature adoption.

Саныч :)

1 Апреля ... Evil bit в IPv4 header ...

... attack programs MUST use it. ...

Это же прикол чистой воды !!!

Класс !!! Наконец-то !!! Я давно уже мечтал о таком Злом Бите! Как все просто и красиво; один рулез в iptables и готово: эти пакеты налево, эти направо. Классно придумали! Особенно название бита мне нравится - ЗЛОЙ БИТ !

Мда... У среднего анонимуса оказывается, не только глаза красные, но и чуйства юмора нет :> Вкупе со знаниями сетевых технологий :)))

RUlezzz !!

A gde mozno skachat rpm so zlum bitom ?

U menya Linux Red Hat 9

РПМки будут в RedHat 10 Там по умолчани все программы работающие с сетью будут выставлять это бит в 1 Чтобы программа не выставляла этот бит надо будет выполнить команду: echo "1" > /proc/sys/net/ipv4/conf/programs/<имя программы>/i_am_a_good_boy

:)

да ну, мужики, короче - всем хацкерам дадут тулкит DrEvil 1.0 (уже в разработке) а админам предложат пакет файервол утилит AustinPowers 0.9b (рабочее название forever_development). C помощью DrEvil можно генерить злостные пакеты и гадко хихикая пулять по файерволам Остина Пауэрса. О, самое главное забыл - все это будет работать в Фане (First April Network Environment)

ps
я не разбираюсь досконально в вопросах сетевой безопасности и реализацию TCP/IP знаю в общих чертах - просто и название и дата публикации наводят на глумливые размышления :)

не Злой Бит, а Бит Зла!

и вообще - первоапрельские RFC - rulezz, есть даже целые коллекции. из особо запомнившихся - ethernet по электросети и голубиная электронная почта...

Вообще-то есть такой RFC791 описывающий протокол IP теперь имеющий номер 4. А к нему потом еще сподобились написать кучу дополнительных документов - как правильно понимать этот документ. Все неиспользуемуе поля (RESERVED) ДОЛЖНЫ в изначальном документе содержать NULL (круглый и перечеркнутый). Но потом появились приколисты, написавшие документ RFC под номером 1812 (символическая дата и номер). Так там все немного изменили и поставили с ног на голову. Все резервированые поля могут быть задействованны под разного рода расширения протокола. Поэтому чтобы десять раз не перепрошивать роутеры решено было разрешить прохождение пакетов с неправильно выставленными флагами (и это при имеющемся инструменте расширяемых опций). И теперь этот вновь вышедший документ вполне смахивает на признаки скорой кончины IPv4, т.к. он указывает на то, что никто его расширять уже не будет. Что он изменил ? Для пользователей и администраторов - ровно ничего. Зато если кто использовал его в своих не очень стандарных программах получат дополнительный шанс продать свои апгрейды, а программисты intrusion detection наконец то получили четкие инструкции куда посылать эти пакеты на доп. обработку. И все потому, что пакет не прошел проверку RFC1514.

RFC 3514 The Security Flag in the IPv4 Header 1 April 2003

> Да она еще весь пингвилинукс переживет, вместе с его создателями.

Она уже практически загнулась.

> Ты что не знаешь, что OpenBSD team очень активно финансирует DARPA ?

И это признак чего? Супер крутые ракеты сбиваются с курса
карманным приборчиком, стоимостью пять баксов. Это и есть цена
проектам DARPA.

>И это признак чего?

А это признак того, что проект реально крут.

Arpanet, BSD socket - это тоже проекты DARPA

>Супер крутые ракеты сбиваются с курса карманным приборчиком, стоимостью пять баксов. Это и есть цена проектам DARPA.

Совсем дурак ?

За этим приборчиком стояла целая страна, называемая СССР.

Современные чипы тоже продаются по $5 за кристалл, при стоимости

разработки в сотни миллионов.

Саныч

> А это признак того, что проект реально крут.

Хм, а чем собственно? Те же рут эксплойты, что и везде, плюс
явное отставание в драйверах и т.д. Что крутого там конкретно?
Кривой до ужаса и с кучей дыр openssh? Нашел чем хвалиться.

> За этим приборчиком стояла целая страна, называемая СССР.

Никто в них миллионы не вкладывал. За приборчиком стоит от силы
какой-нибуть провинциальный НИИ c бюджетом $1000 в год. А еще
точнее один человек - его изобретатель.

> из особо запомнившихся - ethernet по электросети

Видимо, кто-то очень сильно поверил. Потому, как сделали систему передачи по электросети. :-)

http://www.freebsd.org/cgi/query-pr.cgi?pr=50547

2 Саныч А DARPA то к BSD socket никакого отношения не имеет
2 AS В том rfc не эзернет по электросети был, а передача электричества по IP :)

What Hyperthreading Can (and Can't) Do for You

2tangle_wire

>2 Саныч А DARPA то к BSD socket никакого отношения не имеет

Точно, BSD Sockets написал Алан Кокс специально для линукс.

Саныч

2 Саныч Ты считаешь что финансирование=авторство?

Microsoft приглядывается к Гуглю

2tangle_wire

А причем тут авторство ?

DARPA финансировало проект в рамках которого и был создан TCP/IP

первая реализация была сделана на BSD.

А команда OpenBSD пишет открытым текстом, что все наработки по проектам

DARPA будут использованы в будущих релизах системы.

Саныч

Первая реализация стека была сделана далеко не в BSD.
Стек BSD был первым стеком для Unix, там впервые вылезли сокеты, было это в 1983 году когда в ARPANET уже было 113 узлов.

http://www.zakon.org/robert/internet/timeline/
http://ntrg.cs.tcd.ie/undergrad/4ba2/ipng/gerd.ipv4.html

ps. OpenBSD блевотина