Tshark Challenge - Uber-Geek Vastaus

13 lokakuu 2009 Chris Jätä vastaus »

Minun viimeinen viesti jätin teille kysymys: mitä olemme nähneet purkamaan tiedoston tshark, mikä vaikutus (jos on) olisi olemassa, jos emme aseta tilallinen palomuuri välillä hyökkääjän ja Web-palvelin? Toisin sanoen, jos hyökkääjä on käynnissä käärö haistaa, olisivat he silti nähdä Web-palvelin vuotaa 404 virheitä?

Ja vastaus on ...

Ehkä. :)

Kaikki tilallinen palomuurit ovat yhtä. Jotkut kahva paketteja hieman eri tavalla kuin toiset. Esimerkiksi jotkut (kuten Checkpoint, NetScreen ja muut) antaa ei-SYN paketteja, jotta sääntöjen luoda uuden valtion taulukkoa. Jotkut (Cisco, Netfilter ja muut) vain tuota valtio pöytä, jolla on asianmukainen istunto laitoksen (täytyy nähdä TCP kolme paketti kättely).

Maaohjelmista lähetti voimassa reset paketin hyökkääjä internetissä. Jokainen edellä palomuurit näkisi reset paketin ja poista sen merkintä valtion taulukosta. Kun Web-palvelin edelleen kommunikoida kuitenkin vasta ensimmäiset palomuurit antaisi paketit vuotaa ulos hyökkääjä. Toinen palomuurien yksinkertaisesti pudota liikennettä. Itse asiassa, jos me niiden kanssa kieltää säännön sijasta tippa sääntö, he tappavat istunnossa Web-palvelin siten vahvistamisesta aiheuttamaan ongelmaan maaohjelmien.

Miksi jotkut myyjät antaa tunnustus paketit luoda uutta tilaa taulukkoa? Tämä tuntuu hieman counterintuitive laillisena istunto on aina menossa aloittaa SYN-paketin. On kaksi syytä tämä tekee hyvää toiminnallisesti:

  • Päivittäminen palomuurin säännöt eivät kuole istuntoja
  • Active-Active Setup siirtyy liikennettä ennen valtion taulukkoon sync

Tietenkin olemme nostaneet toiminnallisuus turvallisuuden kustannukset. Valitettavasti, joka on tyypillinen kaupan pois.

Toivottavasti sinulla oli hauskaa tämän haasteen. Jos on kiinnostusta Laitan lisää tulevaisuudessa.

Liittyvien virkojen:

  1. Tshark Challenge - Final vastauksia
  2. Tshark Challenge - Vinkit 4
  3. Tshark Challenge - Hints2
  4. Tshark Challenge - Vinkit 3
  5. Huijaus IP-osoitetta Port Scan - Osa 2

Lähetetty 2-hälytys , Network Security , Packet dekoodauksen

Tunnisteet:

Voit seurata tämän artikkelin vastauksia kautta RSS 2.0 Feed . Voit jättää vastauksen , tai trackback omalta sivustoltasi.

Mainos

2 kommenttia

Lisää kommentti
  1. ed Franks sanoo:
    01 helmikuu 2010 at 2:56 am

    Hei Chris ..

    nauttinut tämän haasteen paljon. En saanut vastausta, mutta valaistunut. Nyt, kuinka jonain tietää lähteä etsimään tällaista epäilyttävää liikennettä ylipäätään? Etsi RSTs? Tai että plus jotain muuta? utelias. Etsitkö lisää tarrojen kuin tämä menee eteenpäin!

    ed

    Vastaus
  2. Chris sanoo:
    16 helmikuu 2010 at 10:48 am

    Hei Ed-

    Henkilökohtaisesti haluan aloittaa etsimällä virhe paketteja. Niin TCP nollaa ja ICMP-tyyppi 3 n, 4 n, 5: n ja 11: t ovat loistava tapa aloittaa. Mitä minä rakastan virheen pakkauksissa on, että ne ovat suhteellisen hiljainen. Jos näet heidät, "jotain" on pielessä. Saattaa olla turvallisuutta koskevien tai se voi olla toimiva, mutta joka tapauksessa ne osoittavat tilanteen, joka tarvitsee huomiota.

    HTH-
    Chris

    Vastaus

Jätä vastaus