Lukasz Trabinski <lukasz@trabinski.nospam.net> writes:
> Krzysiek, zapętliłeś się, ja na ten problem patrzę nieco ogólniej, niż
> samo wycinanie jednego portu na stacji end-usera.
Wiem wiem, Ty zawsze patrzysz na rozne rzeczy inaczej. Tu na szczescie
nie ma niebezpieczenstwa "near miss" z kostucha.
> OK, wytniesz port 25 na kompueterze usera, ale będzie on robił jeszcze
> wiele innych mało ciekawych rzeczy, bo nadal będzie kontrolowany przez kogoś z
> zewnątrz.
Ale blackholing jakichs serwerow np. IRC niczego tu nie zmieni.
Rozumiesz to? To nie jest skuteczne rozwiazanie, chociaz TPSA moze sie
nim pobawic jak nowa zabawka (kosztem np. klientow).
> OK, można wycinać dalej, kolejne porty, ale nadal ta maszyna
> rozmawia z kontrolerem. Słabo widzę wycinanie end-userowi możliwości
> wykonywania zapytań tcp-fin+ack na losowe porty i losowe adresy w internecie.
> Chyba rozumiesz, że uwalenie komunikacji z kontrolerem botnetu, jest wysoce
> lepszym pomysłem.
Oczywiscie, ale wylacznie takie, ktore jest >> skuteczne <<.
Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
komunikacje normalnego (niezarazonego) usera z normalnymi
(niezarazonymi itp) serwerami.
Rozumiesz? TPSA wprowadza takie rozwiazanie _wiedzac_, ze ono nie moze
byc skuteczne. Jaki to ma sens?
Jesli TPSA dysponuje odpowiednimi statystykami (przeciez blokuje te IP
wedlug algorytmu), to dlaczego nie moze zablokowac _zarazonych_
maszyn, mozna im wyswietlac takze odpowiednia strone WWW z informacja,
byloby to skuteczne z dowolnymi sposobami kontrolowania zombies, a
dodatkowo byloby to zgodne z prawem oraz z umowami z klientami.
Technicznie nie jest to dla nich zaden problem. Polityka to pewnie
inna sprawa, ale polityka problemow technicznych raczej nie rozwiaze.
-- Krzysztof HalasaReceived on Tue Jan 6 18:50:11 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 06 Jan 2009 - 19:40:02 MET