Протокол ICMP небезопасен

пипец! мужыки , сеть это тоже уязвимость

Ударим пингом по всей сети %)

>Ударим пингом по всей сети %)

nice -15 ping -b 255.255.255.255

Тогда уж и с ключиком -f нужно

Да, что сисько, что некрософт - ублюдки конченые: за такие вещи с патентами надо просто закрывать такие фирмочки, с возвратом денег потребителям, чтобы другим не повадно было...

Угу. Вот из-за таких статей красноглазые пионэры закрывают у себя ICMP фильтрами, а потом удивляются (например, "почему у меня по ftp файлы не качаются с некоторых сайтов" - MTU path discovery не работает).И тд.

Не говори "гоп" пока не перепрыгнешь.

> пипец! мужыки , сеть это тоже уязвимость

Точно. По сети блуждают пакеты, они могут украсть ваши файлы. А ещё там есть спамы, куки и пр.

> Theo was impressed by the ideas, and as Fernando was already heading to BSDCan, Theo helped arrange for him to stay in Canada longer to attend CanSecWest and the OpenBSD hackathon. At the hackathon, Fernando worked around the clock to implement some of his suggested fixes into the OpenBSD networking stack, during which time I spoke with him.

Ясно. Опять длинные уши Тео замаячили на заднем плане.

>Точно. По сети блуждают пакеты, они могут украсть ваши файлы. А ещё там есть спамы, куки и пр.

Троянские кони... ;-))))

> Following the public disclosure of Fernando's findings, the media began to discuss the flaws in ICMP. "Instead of contacting at least NISCC, or myself, they contacted the affected parties," Fernando explained. "For example, ZD-NET contacted Microsoft and thus came to the conclusion that there was no problem, that the only way for the attack to work was for the attacker to sniff traffic on the network. This isn't true! It seems the reporters hadn't even read the draft and thus didn't understand what is wrong with ICMP. What's even worse, it seems that they nor the contact at Microsoft realize what the word 'blind' means in each of the attacks." As discussed earlier, due to the fact that most vendors didn't even check the TCP sequence number of packets within ICMP errors, an attacker could blindly spoof ICMP errors and thus trivially exploit these vulnerabilities.

Улёт. M$ заявляет, что сама переписала TCP/IP-стек, и в нём bsd-кода не осталось. Так что, не судьба была исправить такие очевидные недоделки?

незря microsoft.com не пингуется

>> ping -b 255.255.255.255

Не интересно. broadcast не маршрутизируется.

> Не интересно. broadcast не маршрутизируется.

А ты хотел, чтоб он ещё через NAT проходил и весь интернет захламлял? :)

zl0

> Ясно. Опять длинные уши Тео замаячили на заднем плане.

а тебе его лавры покоя не дают ?

тогда

for ((;;)) ; do nmap -sP 1-254.0-255.0-255.1-254 & ; done

> а тебе его лавры покоя не дают ?

Нет, меня смешат его попытки отпиарить OpenBSD. И хоть куда-нибудь её пропихнуть :)

> Нет, меня смешат его попытки отпиарить OpenBSD. И хоть куда-нибудь её пропихнуть :)

за своим столмэном следи лучше . больше клоун чем столмэн только жириновский

> больше клоун чем столмэн только жириновский

Не, самые классные клоуны - анонимусы на LOR'е, факт!

>>>больше клоун чем столмэн только жириновский ...

ls --version ls (coreutils) 5.2.1 Written by Richard Stallman and David MacKenzie.

Я все понял - Линус Товальд - это творческий псевдоним жирика 8)))))

>Я все понял - Линус Товальд - это творческий псевдоним жирика 8)))))

а кто же тогда эти чуваки со странными фамилиями - Тырвальд, Торвинс,Турбуленс?.. ;-)) шутить очень любим, да?

> Вот из-за таких статей красноглазые пионэры закрывают у себя ICMP
> фильтрами

ага
задолбали
а тем, кто фильтрует icmp на mail серверах, вообще надо конечности отрывать

> Протокол ICMP небезопасен

В смысле небезопасен? Укусить может, что ли? :)

>за своим столмэном следи лучше . больше клоун чем столмэн только жириновский

Столман не клоун. а просто религиозный фанатик. он не может быть смешон... вообще они друг друга стоят RMS И TEO. вот Линус большую симпатию вызывает несмотря на пиар. кто знает разработчиков FreeBSD? вот так надо.

Да! Ещё куки, куки... И прочая нечисть... ;-)))

А разве никто не знает, что роутеры надо только на OpenBSD делать?

>а тем, кто фильтрует icmp на mail серверах, вообще надо конечности отрывать

Если не сикрет чем мешают фильтрование icmp mail серверам ?

Да, неплохо мужичка пособником террористов объявили. Он ведь раскрыл информацию, которую могут использовать террористы!

Покупайте оборудование Cisco, в нём реализованы антитеррористические методы. Спизжены, правда, ну да чего не сделаешь в порядке борьбы с терроризмом.

Regards, KdF.

приколи, 21 век, а досихпор нихто не знает

Ага. Пойду мужикам скажу =))

хммм... идем на security.nnov.ru и читаем:

Существуют многочисленные способы привести к обрыву TCP соединений используя ICMP атаки или некорректные значения TCP timstamp. Приложения: Windows 2000 Server, Windows 2000 Professional, HP-UX 11.00, IOS 11.2, Solaris 8, Firebox II, Solaris 7, IOS 11.1, IOS 12.1, IOS 11.0, IOS 11.3, IOS 12.2, HP-UX 11.11, Windows XP, Windows 2003 Server, IOS 12.3, FreeBSD 5.4, OpenBSD 3.7, Cisco MGX 8900, Cisco MGX 8800, Cisco MGX 8200, Aironet 350, AX7800S, AX5400S, Hitachi GR2000, Hitachi GR4000, Hitachi GS4000, Hitachi GS3000, CacheOS 3.0, CacheOS 4.0, Blue Coat Security Gateway 4.1, Avaya Intuity LX, Avaya G350, Avaya G250, Avaya IP Phones 2.0, Avaya Modular Messaging 2.0, HP-UX 11.04, Solaris 9, Firebox III, HP-UX 11.22, Cisco CSS 11000, Aironet 1200, Solaris 10, Avaya G700, Avaya MN100, Cisco SN5400, AX7800R, BIG-IP 9.1, Blue Coat Security Gateway 3.2, ONTAP 6.5, Firebox 1000, Firebox 2500, Firebox 4500, Firebox 700, Firebox SOHO, Firebox 10, Firebox 100, Firebox 60, Firebox 80, BIG-IP 4.5, BIG-IP 4.6, FreeBSD 4.11, JunOS 6.3, OpenBSD 3.6, AIX 5.3, FreeBSD 5.3, HP-UX 11.23, OpenBSD 3.5, FreeBSD 4.10 (07.07.05)

видим в списке OpenBSD, но не видим Linux... что самое интересное - даже парочка експлоитов есть :)

>> кто знает разработчиков FreeBSD?

В алфавитном порядке подойдет?

http://www.freebsd.org/doc/en_US.ISO8859-1/articles/contributors/article.html

> Если не сикрет чем мешают фильтрование icmp mail серверам?

не секрет
тем, что люди почту теряют

[SMTP server1]--[ICMP filter]--[ethernet MTU 1500]--[internet cloud]--[frame relay MTU 512]--[SMTP server2]

SMTP server1 шлёт письмо на SMTP server2
MTU=1500, установлен флаг DF (большинство демонов его выставляют)
маршрутизатор в сетке, где MTU 512 говорит, извини - не пролазит (шлёт ICMP отлуп на server1 - fragmentation needed, but DF set)
файрвол перед server1 благоролучно этот ICMP фильтрует, и server1, вместо того, чтоб уменьшить MTU, до опупения тычется, потом возвращает письмо о невозможности доставки
Frame Relay для примера, годится любой пример, где MTU<1500

>> Vitamin

Маршрутизация левая не так немного делается с помощью ICMP. Будет время и желание - я вам расскажу.

sowrshenno werno. aktualnee dashe pppoe, MTU 1496 :-) - inogda dazhe rabotaet

>> Маршрутизация левая

Честно говоря я никогда не верил, пока не показали )))))))

Выход простой - статичные маршруты.

>> Выход простой - статичные маршруты.

Тож не панацея - это для тех тачек кто в инете не показывается своей жопой. За натом спите спокойно (пока) )))

>> Протокол ICMP небезопасен

Вы только проснулись? Я уж 1.5 года экспереминтирую над вашими серваками )))) Поломал только свой, ПОКА )))))))))Мне просто скучно стало (((

;-)))Ну повеселил, спасибо.. ;-)

какая нафиг маршрутизация
причём она тут вообще
и static routes тоже..
курить меньше надо :)

Чем я тебя повеселил, конкректней плиз!!! Быстро аргументы!Ё!! Я ж тя хоть с австралии подыму за шкварник и научу за свои слова отвечать!!! Или ты думаешь такой далекий?

>> http://zeiss.net.ru/docs/technol/tcpip/tcp09.htm

Читать до полного увеселения!

>> http://www.iakovlev.org/index.html?p=115&m=1

Это так, просто ради профилактики

Zloban, ты прям с таким видом, как будто америку открываешь :))
icmp redirect никто не использует давно. Welcome to real life.
hint: книги надо читать в оригинале, tcp/ip illustrated стивенса решает и, конечно же, RFC :) а то потом возникают перлы, вроде "icmp перенаправление"..

>> какая нафиг маршрутизация

Согласись ты еще не способен со мной спорить! Если я что-то говорю, я знаю, о чем я говорю. Жду с пивом и извинимми ))) Железнодорожная )))

> Согласись ты еще не способен со мной спорить! Если я что-то говорю, я
> знаю, о чем я говорю. Жду с пивом и извинимми ))) Железнодорожная )))

LOL
подрасти сначала

>> книги надо читать в оригинале

К сожалению отсутствия присутствия психологически страдают очень мало индивидумов женского пола, я к тому, что к тебе не потянутся... ))))

>> подрасти сначала

Это понять как вызов? 1966 рождения!!!