udp 0

[Szabolcs Szigeti]

> Azt szeretnem kerdezni, hogy ha valaki fals source ip cimmel folyamatosan
> zargatja a freebsd-s szerveremet udp csomagokkal, source port, dest port
> nulla, az:
> 1. mibol derul ki a freebsd-n (en most a routerbol latom a csomagokat)
> 2. kepes-e evvel megzavarni/meghackelni a gepet

Szerintem erdemes probalkozni a meghackelessel, sokminden kiderulhet, amire
a fejlesztok nem gondoltak. (lasd meg ping of death, w95 OB data etc.)
Esetleg nezz korul a bugtraq achivon, hatha van valami ezzel kapcsolatban.

Hogy aztan aki ezt csinalja-e, az valami lamer, aki legyujtott valahonnan
egy programot, amivel mondjuk irix-et lehet szivatni, vagy tenyleg
egy nagy freebsd hacker, az kerdes.

A tcpdump eleg jo mosoerovel rendelkezik, hogy a halozati
forgalmat nezegessed, felteve, ha tudsz perlul, shellul, awkul es sedul,
amikkel a tcpdump kimenetet tudod konnyen fogyaszthatova tenni.

Esetleg beinstallalhatod az ipfirewallt a freebsd-be, logolassal, es 
azzal is lehet nezni.

Mellesleg, IMHO, legjobban akkor jarsz, ha az ilyesmiket mar a bejovo
routeren szurod, es UDP forgalmat csak onnan es oda engedsz, ahova tenyleg
kell (foleg, ha kozben IP spoofingal is nyomul a srac).
Ki tudja, hol van egy jo kis buffer overflow vagy hasonlo voulnerability a
kernelben, jobb nem kiserteni.

Szabolcs