"Dnes již existuje řada opatření a postupů, jak se proti tomuto útoku bránit"
Pozor na to - postupy sice su, ale je to nieco za nieco. Malokto pri SYN cookies upozornuje aj na to, ze pri ich pouzivani sa efektivne zmensi nahodna cast seq num z 32bit na 24bit, cim sa zjednodusi spoof IP. Vdaka staci priemerne 8M paketov na sfalsovanie zdrojovej IP...
Zdrojovou IP adresu zfalšujete možná při navazování spojení, ale pak nedostanete od serveru žádná data - ta jsou totiž poslána na tu zfalšovanou IP adresu, takže je to celkem k ničemu. Jediné v čem to může pomoci je průchod hloupě nastaveným (nestavovým) firewallem.
K ACK sa AFAIK mozu pridat data - a tie sa tam dostanu. Pripadne sa to posle v dalsom pakete, to nie je az taky problem.
Nastastie sa uz nepouziva rlogin - ale ked mame iny program, ktoreho bezpecnost aspon ciastocne stoji na spravnej IP, tak so SYN cookies musime pocitat s tym, ze tu IP nie je problem podvrhnut.
Ono totiz tie data v opacnom smere ani nemusia byt treba - pri tom rlogine ide trivialne naviazat ine spojenie uz na lubovolnu adresu. Ak je aplikacia derava, tak je problem podobny.
"Jediné v čem to může pomoci je průchod hloupě nastaveným (nestavovým) firewallem."
Ako dobre nastavit firewall?
Z mojej znalosti sieti sa to zda byt ako skutocna komunikacia, ktoru moze zastavit RST od toho, za koho sa vydavame. Utocnik odosle SYN s adresou obeti, SYN-ACK ide k obeti, ale sa strati (idealne), utocnik uhadne jedno cislo v ACK a ma spojenie. Z pohladu serveru je to len vela SYNov a ACKov.
Ked ich zablokujeme (co mozeme), tak odpiseme aj toho, kto ma skutocnu IP rovnaku ako predstieranu.
