[Pluto-security] Strani File Log
Tom
dido@sicurweb.com
Fri, 17 May 2002 19:24:06 +0000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Giusto per chiarezza: ho scritto al ragazzo che ha sviluppato il modulo
ipt_string. Mi ha spiegato che iptables continua comunque a lavorare a layer
3-4, in quanto si limita solamente ad una scansione "stupida" del datagram
payload, senza conoscere nessun dettaglio del protocollo
applicativo...Giustamente.
Tom
On Friday 17 May 2002 14:32, Tom wrote:
> Beppe, il problema è abbastanza noto... e sono state proposte varie
> soluzioni, ma tutte abbastanza "di fortuna". Quella che sembrava la più
> carina era questa: iptables nasce con una patch per il match dei pacchetti
> in base a una _stringa_ in esso contenuta (la cosa mi ha lasciato un po'
> perplesso: io ero convinto che iptables lavorasse al livello 4 del mod.
> osi, mentre per poter accedere al contenuto, credo si debba lavorare a
> livello ben più alto!). Comuque, tu potevi dire di droppare un pacchetto
> che contenesse la stringa "cmd.exe". Tutto ok, apache non lo registrava...
> problema: la richiesta di connessione era già stata fatta, quindi lato
> server avevi già un socket aperto. Droppare il pacchetto non è come
> resettare la connessione, per cui il tuo socket rimaneva in stato "stale"
> fino a timeout sulla connessione. Questo poteva portare ad una cosa molto
> brutta: se qualcuno ti manda un attacco fatto di migliaia di richieste, tu
> potevi avere un DoS in quanto non potevi più accettare connessioni fino
> alla scadenza del timeout. Spero di essere stato chiaro...
> Allora molti, per limitare la dim dei lock, usano uno script in perl che
> processa il file di log e elimina le richieste "nimda". Io non l'ho fatto,
> e non lo so fare (sono molto indietro col perl).
> TOm
>
> >Difatti mi era venuto il dubbio che fosse proprio il Nimbda.
> >Ok, Apache non è affetto apparte il discorso log ; ma proprio su
> >questo la cosa mi appare strana. Allora mettiamola così, ho Apache in
> >esecuzione sulla macchina. Nel frattempo ricevo continui attacchi da un
> >server baccato, in breve tempo la macchina sarebbe saturata di Log file.
> >Faccio questa supposizione perchè situzioni del genere le registro tutti i
> >giorni e meno male che è sempre e cmq. una macchina casalinga.
> >L'unica sarebbe a questo punto limitare i Log file ma sarebbe allora
> > alquanto restrittivo per WebServer molto trafficati o no ????
> >
> >Ciao Beppe
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE85VjWQe/GGXXd6zQRAgIqAJ47IqdEcPUx5fUv+CAHg9oHagwKCwCgnlPi
av8m9jMWQTNAFV5qCrt4qBs=
=0vMk
-----END PGP SIGNATURE-----