On 2018-11-01, Mateusz Viste <mateusz@nie.pamietam> wrote:
> On Wed, 31 Oct 2018 21:02:57 +0000, Marcin Debowski wrote:
>> A routery? Nie modyfikują licznika?
>
> Routery to i owszem, oczywiście. Od tego ten licznik właśnie jest, by
> pakiety IP nie zapętlały się zbyt długo w meandrach internetu. Tutaj
> maksymalna ilość skoków jest zależna od tego ile sobie zażyczy nadawca (w
> granicach do 255 skoków, bo TTL IP to ośmiobitowa wartość). No ale
> dyskusja była, zdaje się, o przełącznikach.
Tak tak, ale korzystam z okazji i z Twojej wiedzy co by poukładac sobie
to w głowie w sposób nieco bardziej systematyczny.
> Wracając do tematu TTL, to istnieją urządzenia routujące które nie
> zmieniają licznika. Urządzenia te czynią tak dlatego, że chcą być
> niewidzialne ("stealth"), bo często poza wymuszaniem swojego trasowania
> wykonują także szereg innych operacji filtrująco-analizujących (DPI, IDS,
> IPS...). Zdarzyło mi się widzieć jak wielo-gigabitowa sieć z takimi
> urządzeniami została zabita przez 1 (jeden) błędny pakiet - właśnie przez
> brak mechanizmu wykrywania pętli w postaci TTL.
Nb. czytałem jakiś czas temu o bardzo ciekawym ataku opierającym się
(OIDP) własnie na odczycie stanu licznika - sprawdzane było w ten sposób
z jakim hostem łączył się atakowany serwer czy tez jakie zaszło
zdarzenie (modyfikujące lub nie licznik).
--
Marcin
|