emba
29.08.03, 15:13
hi
hab grad bei securityfocus vom neuen TARPIT Modul gelesen.
klingt ganz interessant
eigene summary :
"schutz gegen wurmattacken"
Würmer scannen von außen rechner, um informationen über laufende dienste zu sammeln und dann den angriff zu starten
Das TARPIT-Target agiert folgendermassen:
es kennzeichnet die vom user in der rule angegebenen ports als offen
der wurm schickt nun ein TCP-Paket mit SYN-Flag
dieses wird mit ACK/SYN von der Linux-FW beantwortet, und dabei die windowsize veringert
dies geschieht so lang, bis die window-size = 0 ist, der wurm also keine daten mehr senden kann und somit sein angriff zunächst gestoppt wird
die verbindung bleibt aber noch offen
das problem für die wümer ist hier einfach, dass sie so geschrieben sind, dass sie schnell informationen sammeln und dann code ausführen - ersteres wird hier so gehämmt, dass der angriff ins leere läuft, der wurm also "gebremst" wird
somit soll eine rasante ausbreitung des wurms verhindert werden
[...read more...] (http://www.securityfocus.com/infocus/1723)
finde ich ganz interessant, zumal man es auch gegen portscans einsetzen kann, und dem scanner eine windows-kiste "vorgaukeln" kann
hat jmd. schon getestet?
greez
hab grad bei securityfocus vom neuen TARPIT Modul gelesen.
klingt ganz interessant
eigene summary :
"schutz gegen wurmattacken"
Würmer scannen von außen rechner, um informationen über laufende dienste zu sammeln und dann den angriff zu starten
Das TARPIT-Target agiert folgendermassen:
es kennzeichnet die vom user in der rule angegebenen ports als offen
der wurm schickt nun ein TCP-Paket mit SYN-Flag
dieses wird mit ACK/SYN von der Linux-FW beantwortet, und dabei die windowsize veringert
dies geschieht so lang, bis die window-size = 0 ist, der wurm also keine daten mehr senden kann und somit sein angriff zunächst gestoppt wird
die verbindung bleibt aber noch offen
das problem für die wümer ist hier einfach, dass sie so geschrieben sind, dass sie schnell informationen sammeln und dann code ausführen - ersteres wird hier so gehämmt, dass der angriff ins leere läuft, der wurm also "gebremst" wird
somit soll eine rasante ausbreitung des wurms verhindert werden
[...read more...] (http://www.securityfocus.com/infocus/1723)
finde ich ganz interessant, zumal man es auch gegen portscans einsetzen kann, und dem scanner eine windows-kiste "vorgaukeln" kann
hat jmd. schon getestet?
greez