Názory k článku Příchod hackerů: zrození DoS útoků

"Dnes již existuje řada opatření a postupů, jak se proti tomuto útoku bránit"

Pozor na to - postupy sice su, ale je to nieco za nieco. Malokto pri SYN cookies upozornuje aj na to, ze pri ich pouzivani sa efektivne zmensi nahodna cast seq num z 32bit na 24bit, cim sa zjednodusi spoof IP. Vdaka staci priemerne 8M paketov na sfalsovanie zdrojovej IP...

Zdrojovou IP adresu zfalšujete možná při navazování spojení, ale pak nedostanete od serveru žádná data - ta jsou totiž poslána na tu zfalšovanou IP adresu, takže je to celkem k ničemu. Jediné v čem to může pomoci je průchod hloupě nastaveným (nestavovým) firewallem.

K ACK sa AFAIK mozu pridat data - a tie sa tam dostanu. Pripadne sa to posle v dalsom pakete, to nie je az taky problem.

Nastastie sa uz nepouziva rlogin - ale ked mame iny program, ktoreho bezpecnost aspon ciastocne stoji na spravnej IP, tak so SYN cookies musime pocitat s tym, ze tu IP nie je problem podvrhnut.

Ono totiz tie data v opacnom smere ani nemusia byt treba - pri tom rlogine ide trivialne naviazat ine spojenie uz na lubovolnu adresu. Ak je aplikacia derava, tak je problem podobny.

"Jediné v čem to může pomoci je průchod hloupě nastaveným (nestavovým) firewallem."

Ako dobre nastavit firewall?
Z mojej znalosti sieti sa to zda byt ako skutocna komunikacia, ktoru moze zastavit RST od toho, za koho sa vydavame. Utocnik odosle SYN s adresou obeti, SYN-ACK ide k obeti, ale sa strati (idealne), utocnik uhadne jedno cislo v ACK a ma spojenie. Z pohladu serveru je to len vela SYNov a ACKov.
Ked ich zablokujeme (co mozeme), tak odpiseme aj toho, kto ma skutocnu IP rovnaku ako predstieranu.

Když jsem v roce 1996 začal používat internet, tak IRC klient byl mnoho let prvním programem, který jsem po vytočení modemu a připojení spouštěl.
A tam jsme měli ještě jinou hračku. Přímo IRC protokolem šel poslat ping libovolnému dalšímu klientovi a součástí mohl být i nějaký payload. No a když obsahoval tu správnou sekvenci znaků ("+++"), tak jak ho protějšek odesílal, tak vyvolal zavěšení modemu. Úžasné na škádlení případně eliminaci nepohodlných... :-)

"na IRC – jeden z prvních masivních „chatovacích“ protokolů, si řada čtenářů Rootu jistě vzpomene"

Mě vždy fascinuje, když někdo odsuzuje IRC jako něco archaického. Lepší protokol pro textové přenosy 1:N zatím stále neexistuje, i když snahy tu byly. Naprostá jednoduchost a okamžitá odezva, kam se na to hrabe jabber/skype/wha­tever.

Taky se nejedná o nic mrtvého, stále existují stovky českých kanálů s tisíci uživateli. Jen je to něco, co nezvládne každý idiot, který má na mobilu facebook.

No, srovnávat IRC a jabber, je jako srovnávat koresponďák s balíkem. Každý má své výhody.

VSE, co umi jabber (presneji XMPP), lze na IRC udelat take. Ani zdaleka vse, co jde na IRC, umi Jabber.
IRC je neprekonatelne, bohuzel se to u nove generace nevi. A vedet nebude.

A lze to vše udělat stardizovanou cestou, takže nebude problém, když každý bude mít jiného klienta?

Více/méně. Nevýhoda je dělení do kanálů a z toho plynoucí centralizace. Na druhou stranu, servery se dají linkovat k ostatním, takže to zas taková vada není.

Jinak jabber taky neumí spoustu věcí, když mají lidé rozdílného klienta. Rozchodit přenosy souborů je porod a třeba takové OTR se mi prostě ani nepodařilo.