アカウント名:
パスワード:
新しく(iptablesの-m conntrack --ctstate NEWに相当)アクセスしてきたホストをちょっと(1分くらいでいい?1秒でもいいかも?)だけブロックしたら、事実上防御可能じゃないの?
残念ながらUDPなんですよ「アクセスしてきたホスト」という概念が信頼できないんですUDPなので……
そもそもカミンスキーアタックは第三者が権威サーバのIPを騙ったパケットを送りつける攻撃ですので……
件のサイトのポスターのⅢ. Side Chennelを見てたんだけれども、図だと閉じたポートへのアクセスに対してICMPを返している(そしてそれを利用してICMPカウンターを回す)から、iptablesで言うところのRejectになってるような気がするんだが、これをDropにするのはだめなのかな?
駄目だったのは35%って事なら、その手の設定で回避出来てたって事なんじゃない?この攻撃を想定しておらずとも、安全側に上手く倒した設定だったら耐えれたとかそういう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
許可してないUDPポートに、 (スコア:0)
新しく(iptablesの-m conntrack --ctstate NEWに相当)アクセスしてきたホストをちょっと(1分くらいでいい?1秒でもいいかも?)だけブロックしたら、事実上防御可能じゃないの?
Re: (スコア:0)
残念ながらUDPなんですよ
「アクセスしてきたホスト」という概念が信頼できないんですUDPなので……
そもそもカミンスキーアタックは第三者が権威サーバのIPを騙ったパケットを送りつける攻撃ですので……
Re: (スコア:0)
件のサイトのポスターのⅢ. Side Chennelを見てたんだけれども、
図だと閉じたポートへのアクセスに対してICMPを返している(そしてそれを利用してICMPカウンターを回す)から、iptablesで言うところのRejectになってるような気がするんだが、これをDropにするのはだめなのかな?
Re:許可してないUDPポートに、 (スコア:0)
駄目だったのは35%って事なら、その手の設定で回避出来てたって事なんじゃない?
この攻撃を想定しておらずとも、安全側に上手く倒した設定だったら耐えれたとかそういう