Nereaguje na ping? To jen v případě, že někdo zakáže ICMP. Což je ale vrcholná pitomost, protože pak se rozbije síť a dějí se divné věci.
Ten scan portu se udela jaksi mimochodem, protoze se proste zkusi otevrit ssh spojeni na vsechy porty od 1 do 10.000. Zavirovanych pocitacu je na to dostatek a vykonu maji nepocitane. Nikdo predem nic nepropingava, to jen zbytecne zpomali utok.
Navic oblibene stehovani ssh na port 2222 otevira moznost utoku, kdy ssh odstrelene pri utoku muze nahodit zpet neprivilegovany uzivatel a kdyz admin bezmyslenkovite odklika ze se zmenily klice (pripadne se loguje z noveho stroje, kde je nema ulozene), tak je vymalovano, protoze ssh demon utocnika nejen pochyta hesla, ale muze i preforwardovat klice jinam.
Jedine skutecne reseni je mit ssh otevrene jen pro duveryhodne IP adresy, pouzivat klice a pro lidi co zrovna nemohou jit ze sve IP adresy mit pripravene VPN nebo treba i ssh na serverech, o ktere nekdo dobre pecuje a pres ktere se teprve pak hlasi kam potrebuje. Takova gateway se potom mhohem lepe zabezpecuje a i kdyz uz se neco stane, tak se to take rychle najde. A samozrejme nemit povolene prihlaseni heslem a nebo pouzit veci jako Google Authenticator, coz mi prijde jako sluzny kompromis mezi bezpecnym prihlasenim klicem, ktery nemusi byt k mani a pouzitim jen hesla, ktere snadno nekdo ukradne.
Ona ta armáda zombíků je většinou připojená přes SOHO routery, který otevřou dost malý množství spojení. Tudíž rozhodně je otrava zkoušet mnoho portů najednou na mnoho počítačů v internetu.
Vemte si jen jak dlouho bude trvat klasickej scan přes NMAP (aniž by toho moc zkoušel) z jednoho stroje na jeden stroj.
To s tím neprivilegovaným portem je dobrý postřeh!
„ale muze i preforwardovat klice jinam“
Myslíš tím ssh-agenta? To ještě někdo používá? :)
„a pro lidi co zrovna nemohou jit ze sve IP adresy mit pripravene VPN nebo treba i ssh na serverech, o ktere nekdo dobre pecuje a pres ktere se teprve pak hlasi kam potrebuje“
Já bych to tak nehrotil, podle mě snad všechny útoky na SSH jdou přes slabá hesla a tomu se dá zabránit. Pokud se bojíš 0-day útoku na SSH démona, tak tím bude postižen hopbox stejně jako cílový stroj.
„a nebo pouzit veci jako Google Authenticator“
Moc bych v GA nedoufal, slabé heslo bych řešil jinak a backdoornutý počítač, že kterého se loguješ, to nevyřeší, alespoň tedy od té doby, co někdo napsal sslsnoop
Dane, nezda sa vam komicke vyslovit myslienku "zbytocne spomalit utok"? Nie je to tak trochu ako povedat, naco mat plot okolo domu, ved to len zbytocne spomali zlodeja?
Osobne zastavam nazor, ze 100% ochrana systemu viacmenej neexistuje, a preto je zabezpecenie vecou postupneho a viacnasobneho opevnovania. Kazde poleno, ktore hodime utocnikovi pod nohy na ceste k cielu sa moze stat tou povestnou kvpapkou, kedy si povie kaslem na tento system, nestoji mi za to a sustredi sa niekam inam.