Re: kleines netzwerk tool

From: Marian Hettwer <mh(at)kernel32.de>
Date: Wed, 24 Jan 2007 12:06:39 +0100

Hej Ho,

On Wed, 24 Jan 2007 11:20:44 +0100, Bernd Walter <ticso(at)cicely12.cicely.de> wrote:
> On Wed, Jan 24, 2007 at 10:39:58AM +0100, Marian Hettwer wrote:
>> > Da die IIRC FIN-Packete auch Daten enthalten können wird es
> vermutlich
>> > auch schwierig die per Packetfilter zu entsorgen.
>> Packetfilter ist ein gutes Stichwort... ich müsste doch theoretisch
> (rein zum testen) FIN Pakete von dem spezifischen Host droppen können...
>> Mit pf(4) könnte das vielleicht so aussehen:
>>
>> drop in on $interface proto tcp from $hostname flags F
>>
Fürs Archiv:
block in log quick on $ext_if inet proto tcp from $SERVER port 80 to any flags FA/FA

tut den Job. drop'ed FIN Pakete und die Verbindung bleibt offen (bis in meinem Fall der MaxKeepAlive von 15 Sekunden zuschlägt).

>> Leider wird das mit accept_filter / accf_http nix, da die angegriffene
> Kiste eine Linux Maschine ist :(
>
> So ein Pech aber auch...

*hrhr*
ist nicht meine Entscheidung...

>
> Ja - eigendlich schon, was dafür spricht, dass kein FOOBAR kommt,
> jedenfalls keines mit Zeilenumbruch.
>
>> Im Falle der Angreifer steht die Verbindung nach dem Bad Request noch
> fuer 5 Minuten (Timeout 300) in der Prozessliste.
>> hm hm...
>
> Kannst ja den Socket-Zustand problemlos per netstat -an ansehen.
> Wenn der Apache die Verbindung auf TCP Ebene beenden will, dann wird
> das am state erkennbar sein.
Der Apache probiert die Verbindung zu beenden, ich droppe auf meiner seite seine FIN Pakete und das sieht in netstat so aus:
tcp 0 0 81.169.171.191.80 194.50.69.62.4102 FIN_WAIT_1

Gruß,
./Marian

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 24 Jan 2007 - 12:08:27 CET

search this site