[zorp-hu] Késleletetett ack
Balazs Scheidler
bazsi at balabit.hu
2006. Feb. 23., Cs, 19:29:11 CET
On Wed, 2006-02-22 at 15:17 +0100, Nemeth Gyorgy wrote:
> A proxynál, ha a túloldal nem válaszol, a kliens - ellentétben a
> közvetlen kapcsolattal - azt látja, hogy a kapcsolat felépül (megkapja a
> syn/ack csomagot), majd hirtelen lebont (fin).
>
> Megoldható-e valahogy, hogy a tűzfal csak akkor küldjön syn/ack-t, ha a
> serveroldalról is kapott?
a kerdes jo :) de felreteve a trefat, jelenleg nem megoldhato, ehhez
kernel tamogatas kellene, valamikor regen volt erre patch, viszont
_ovatosan_ kell eljarni, a tuzfal DoS-olasa trivialissa valik, mivel
egyetlen egy csomagra (SYN) el kell, hogy induljon egy proxy peldany. A
proxy indulas + a szerver oldalra valo bekapcsolodas pedig joval
eroforrasigenyesebb, mint egy (akar hamis forras IP-rol erkezo) SYN
elkuldese.
Ezen kivul problema lehet, hogy a proxyk gyakran nem rogton kapcsolodnak
a szerverhez, hanem az elso keres beolvasasa utan (pl. HTTP), igy hiaba
indulna el a proxy, az elso keres beolvasasaig nem tudja eldonteni, hogy
ACK-ot vagy RST-t kuldjon-e vissza.
--
Bazsi
További információk a(z) zorp-hu levelezőlistáról