17 июня 01 года


          на гуру все спокойно. на багрепорт пришел ответ "спасибо за информацию, мы обязательно проверим",а sony j5 [http://guru.yandex.ru/categories/mobile/model.php3?1383] по прежнему имеетдлину 88мм. ждем-с.
         плохо быть еженедельщиком. темы кончились. ну и ладно. будут старые темы. скажем, протоварища гибсона со спуфингом, виндами и микрософтом. я и не знал, что оноказывается культовая личность - я вообще из культовых знаю ленина, леннона, сталина и столмана.и что он очень умный и умелый я не спорю - такой троян расковырял, да еще с хакерами побеседовал.и идея-то у него ясная и понимаемая - заткнуть хотя бы одну дырку для ddos атак, раз уждругие не затыкабельны. вот только винды от этого спуфить не разучились, ая до сих пор считаю, что линукс все равно опаснее. ибо чайники не кончатся никогда,"шелл под линуксом" для среднего "хакера" более привлекателен чем какие-то винды,"ломают" линукс уже вполне массово, и будут ломать и дальше. плюс - рост популярностиупомянутого линукса...
         кстати, о syn-flood :-)
         для начала скажу, что защититься от "флуда", если таковой достаточно мощный (заметно толще вашего собственного канала),идет со "случайных" адресов и "похож" на настоящий трафик (grc.com повезло, что их ddosилилегко фильтруемым udp и icmp трафиком - а если бы в самом деле syn-flood?) -защититься от него нельзя. против лома нет приема, кроме другого лома, большего размером,а против взвода стройбата с ломами у каждого - ломов не напасешься. однако кое от чегозащититься можно.
         если физически "забит" внешний (до файрволла) канал - то тут уже не сделаешь ничего, в принципе.если канал не забит - можно попытаться "отфильтровать" трафик по каким-нибудь признакам.закрыть ненужные протоколы, запретить пакеты от несуществующих соединений, и тому подобное.веселее получается в случае syn-floodа, которым можно (было?) не напрягаясь "покласть"небольшой сервер с модема, не отвлекаясь на поиски толстых каналов.
         рассмотрим типичную реализацию взаимодействия клиента, сервера (ос), сервиса (программы,обрабатывающей запрос клиента) в рамках tcp/ip. фактическим стандартомна реализацию сокетного api являются "berkley sockets" с теми или иными вариациями,и программы, естественно, пишутся используя то, что есть. ну, а сам tcp/ip - он стандартен и един, иначе ничего бы и не работало.
         итак, взаимодействие. клиент устанавливает tcp-соединение с сервером, делает "запрос",сервис обрабатывает запрос и дает ответ.
         установка tcp-соединения идет в три этапа. клиент посылает серверу пакет "хочу" - tcp syn.сервер посылает в ответ tcp syn-ack ("хочешь - бери") и ждет ответа tcp ack ("понял, не дурак").с этого момента соединение считается установленным, и по нему можно гонять данные.
         сервис, желающий принимать соединения на каком-нибудь порту, зовет функцию listen()и начинает "слушать" этот порт. по приходу syn на этот порт, сервису тем или иным методом("тушкой, чучелом", select(), wsa_*(), событие, сигнал, еще как) сообщают, что "клиент пришел".сервис, в соответствии со своими понятиями о загруженности, решает - принять или отбить,и в случае если можно "принять" - вызывает на этот сокет accept(). сервис получает"сокет" - сущность, через которую он, сервис, будет коммуницировать :-) с клиентом,и предпринимает сообразные этому действия - заводит структурку, ответственную заработу с клиентом, форкается, создает нить, или передает данные одному из pre-forkedпроцессов, или просто опрашивает этот сокет в главном цикле обработки... в любом случае -расходует драгоценные ресурсы, посколькудля сервиса соединение уже состоялось, таблицы заполнены, ждем только запроса клиента.
         ...после вызова accept(), система посылает syn-ack и ждет ack. ждет до таймаута,который может измеряться минутами, и только после этого "ресетит" сокет. всё это времяв сервисе "висит" полуоткрытый сокет, в позе "не умер - и не хоронят".поскольку syn-пакет маленький, сервисы не так уж часто позволяют иметь больше нескольких тысячодновременных соединений, а таймаут измеряется минутами - можно ввести сервер в состояниекататонии с обычного модема, не утруждая себя поиском толстого канала или еще чего-нибудь такого.
         посмотрим, можно ли от этого защититься. в принципе - можно! не защититься правда, а так, "смягчить удар",но можно. пусть есть файрволл. приходящие syn-пакеты он (файрволл) "не пущает",сам отсылает syn-ack, и сохраняет в табличке чего и куда он послал. в случае получения ackна свой syn-ack, файрволл посылает серверу syn, и далее транслирует tcp-сессию между клиентоми сервером через себя. в результате "поддельные" syn-пакеты до сервера не доходят вообще,а на каждый syn расходуется десяток байт памяти файрволла - "когда, куда, откуда, чего хотел, чего ответили".от классического син-флуда, который можно делать хоть с модема, это спасает. от более мощного- уже нет, поскольку память-то все-таки расходуется, хотя и менее катастрофически и на файрволлеа не на сервере.
         короче, всё плохо, и скоро будет ещё хуже. и все мы беззащитны перед интернетом. аминь :-)
         книжка огурцова и горина "соблазнение" - лежит наhttp://www.artex.nsk.su/kbv/lib2/pickup/soblazn/soblazn.rar [http://www.artex.nsk.su/kbv/lib2/pickup/soblazn/soblazn.rar].может, пригодится кому.
         hitachi разработала прототип "бескнопочного" устройстваработающая моделъ устройства была названа "waterscape", на данный момент она может приниматъ ипередаватъ информацию."бескнопочный" дизайн обьясняется желанием компании создатъ простой и понятный с первого взглядаинтерфейс.устройство имеет сенсор, реагирующий на ускорение, и способно отображатъ различный контент, включаятекст, неподвижные изображения, или музыку. его размер ~10 см в диаметре. сенсор ускорения может восприниматъ отклонения по х и у осям. выбранная информация предстает в виде"пузыръка", выплывшего на поверхностъ. при приближении к центру экрана "пузырек" лопается, и выбранныйкотнент выводится на дисплей. для закрытия документа или приложения полъзователъ должен некотороевремя силъно потрясти прибор.к сожалению, hitachi пока не имеет планов коммерциализации подобных устройств.
         и слава богу. "для завершения звонка некоторое время сильно потрясите свой телефон"...



оригинал страницы находится на http://dibr.nnov.ru/issue170601.html.(с) dibr
при перепечатке ссылка обязательна.<< * >>