PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Iptables POM -> TARPIT



emba
29.08.03, 16:13
hi

hab grad bei securityfocus vom neuen TARPIT Modul gelesen.
klingt ganz interessant

eigene summary :

"schutz gegen wurmattacken"

Würmer scannen von außen rechner, um informationen über laufende dienste zu sammeln und dann den angriff zu starten

Das TARPIT-Target agiert folgendermassen:
es kennzeichnet die vom user in der rule angegebenen ports als offen
der wurm schickt nun ein TCP-Paket mit SYN-Flag
dieses wird mit ACK/SYN von der Linux-FW beantwortet, und dabei die windowsize veringert

dies geschieht so lang, bis die window-size = 0 ist, der wurm also keine daten mehr senden kann und somit sein angriff zunächst gestoppt wird
die verbindung bleibt aber noch offen

das problem für die wümer ist hier einfach, dass sie so geschrieben sind, dass sie schnell informationen sammeln und dann code ausführen - ersteres wird hier so gehämmt, dass der angriff ins leere läuft, der wurm also "gebremst" wird

somit soll eine rasante ausbreitung des wurms verhindert werden

[...read more...] (http://www.securityfocus.com/infocus/1723)

finde ich ganz interessant, zumal man es auch gegen portscans einsetzen kann, und dem scanner eine windows-kiste "vorgaukeln" kann
hat jmd. schon getestet?

greez