Re: kleines netzwerk tool

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Wed, 24 Jan 2007 12:31:23 +0100

On Wed, Jan 24, 2007 at 12:06:39PM +0100, Marian Hettwer wrote:
> Hej Ho,
>
> On Wed, 24 Jan 2007 11:20:44 +0100, Bernd Walter <ticso(at)cicely12.cicely.de> wrote:
> > On Wed, Jan 24, 2007 at 10:39:58AM +0100, Marian Hettwer wrote:
> >> > Da die IIRC FIN-Packete auch Daten enthalten können wird es
> > vermutlich
> >> > auch schwierig die per Packetfilter zu entsorgen.
> >> Packetfilter ist ein gutes Stichwort... ich müsste doch theoretisch
> > (rein zum testen) FIN Pakete von dem spezifischen Host droppen können...
> >> Mit pf(4) könnte das vielleicht so aussehen:
> >>
> >> drop in on $interface proto tcp from $hostname flags F
> >>
> Fürs Archiv:
> block in log quick on $ext_if inet proto tcp from $SERVER port 80 to any flags FA/FA
>
> tut den Job. drop'ed FIN Pakete und die Verbindung bleibt offen (bis in meinem Fall der MaxKeepAlive von 15 Sekunden zuschlägt).
>
> > Ja - eigendlich schon, was dafür spricht, dass kein FOOBAR kommt,
> > jedenfalls keines mit Zeilenumbruch.
> >
> >> Im Falle der Angreifer steht die Verbindung nach dem Bad Request noch
> > fuer 5 Minuten (Timeout 300) in der Prozessliste.
> >> hm hm...
> >
> > Kannst ja den Socket-Zustand problemlos per netstat -an ansehen.
> > Wenn der Apache die Verbindung auf TCP Ebene beenden will, dann wird
> > das am state erkennbar sein.
> Der Apache probiert die Verbindung zu beenden, ich droppe auf meiner seite seine FIN Pakete und das sieht in netstat so aus:
> tcp 0 0 81.169.171.191.80 194.50.69.62.4102 FIN_WAIT_1

Natürlich - war auch nicht anders zu erwarten, wenn du die FIN
wegwirfst ist der state klar.
Nur habe ich den Eindruck, als wenn du was anderes simulierst, als dein
eigendliches Problem ist.
Deshalb meinte ich du solltest den TCP-state eines realen Vorfalls
prüfen.

-- 
B.Walter                http://www.bwct.de      http://www.fizon.de
bernd(at)bwct.de           info(at)bwct.de            support(at)fizon.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 24 Jan 2007 - 12:33:30 CET

search this site