[SUI] Međuispit - 2020/2021
nekomutativna
Tema za međuispit iz Sigurnosti u internetu 2020./2021. za razmjenu pitanja i odgovora skupljenih prošlogodišnjih ispita i rješavanje općenitih nejasnoća vezanih uz gradivo.
behappy98
Imaju li igdje stari ispiti?
HotPotato
Zna li netko odgovore na ova dva pitanja?
Vjerojatno će biti ova pitanja ili varijacije na njih na ispitu, pa bi bilo lijepo kada bi ih riješili.
Pitanja su iz ovog fajla: https://github.com/studosi-fer/SUI/blob/master/ispiti/zi/SUI_ZI_2016-17.pdf
Miskina666
Prvi - napadi
Denial of service napadi jer te floodaju s TCP zahtjevima. Prvi napada preko HTTP (port 80) zahtjeva, a drugi ti flooda sve portove TCP zahtjevima. Ako pretpostavimo da je sve s istog računala onda je vjerovatno u prvome napadu korišten IP spoofing pa je prema tome napadačeva adresa 83.129.34.220.
Drugi - konfiguracija firewalla
a)
iptables -A INPUT -p tcp -s 99.98.46.10 --dport 23 -j ACCEPT
Ako dodatno očemo ostalima onemogućit (makar je već u tablici onemogućeno koliko vidim):
iptables -A INPUT -p tcp -s ! 99.98.46.10 --dport 23 -j DROP
b)
iptables -A INPUT -p tcp -s 10.0.0.1/16 -i eth1 --dport 53 -j ACCEPT
iptables -A INPUT -p dcp -s 10.0.0.1/16 -i eth1 --dport 53 -j ACCEPT
Dozvoli da se priključi na port 53, pomoću TCP/UDP-a, računalima samo iz podmreže 10.0.0.1/16 preko interfacea eth1
Dodatno za output, makar su već svi outputi enablani.
iptables -A OUTPUT -p tcp -d 10.0.0.1/16 -o eth1 --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d 10.0.0.1/16 -o eth1 --sport 53 -j ACCEPT
Ovo za OUTPUT se more još poboljšati dodatnim flagovima za stanja kod outputa (ja mislim).
c)
Dopušteno je zato što je HTTP uz korištenje SSL/TSL-a zapravo HTTPS koji koristi port 443. To je omogućeno postavljenim, defaultnim pravilom za OUTPUT:
:OUTPUT [0:0] ACCEPT
Napomena: pravila ‘-A OUTPUT -p tcp -m tcp –dport 80/8080 -j DROP’ onemogučuju obični HTTP
d)
iptables -A OUTPUT -p tcp --dport 25 -d 161.53.72.233 -j ACCEPT
Omoguci pristup SMTP-om(TCP port 25) na danu IP adresu.
e)
iptables -A INPUT -i eth0 -s 10.0.0.1/16 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.1/16 -j DROP
Ako imaš masku unutarnje mreže, a pokušavaš se priključiti preko vanjskog interface-a na sam firewall ili nekog iz unutarnje mreže - doviđorno
f)
Prihvatit će ih zbog pravila: -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
, koje prihvaća sve konekcije na port 22 (SSH), od bilo kojeg IP-a i preko bilo kojeg
interface-a.
DISCLAIMER
Nisam siguran u točnost ovih rješenja, ali ovako (otprilike) bi ih ja rešil trenutnim znanjem.
batman
HotPotato to spada sad pod gradivo za MI ?
HotPotato
Arfit
Miskina666 Denial of service napadi jer te floodaju s TCP zahtjevima. Prvi napada preko HTTP (port 80) zahtjeva, a drugi ti flooda sve portove TCP zahtjevima. Ako pretpostavimo da je sve s istog računala onda je vjerovatno u prvome napadu korišten IP spoofing pa je prema tome napadačeva adresa 83.129.34.220.
Dakle, u prvom slučaju se očito radi o SYN floodingu uz IP spoofing.
Zar se u drugom slučaju ne radi o port scanningu ?
ardi
Miskina666 iptables -A INPUT -p dcp -s 10.0.0.1/16 -i eth1 –dport 53 -j ACCEPT
pretpostavljam da si ovdje mislio -p udp
?
boss15
Miskina666 sta nije IP napadaca ovaj foreign 162. .. .137 ? Evo iz dokumentacije
Local address The IP address of the local computer and the port number being used. The name of the local computer that corresponds to the IP address and the name of the port is shown unless the -n parameter is specified. If the port is not yet established, the port number is shown as an asterisk ().
Foreign address The IP address and port number of the remote computer to which the socket is connected. The names that corresponds to the IP address and the port are shown unless the -n parameter is specified. If the port is not yet established, the port number is shown as an asterisk ().
Miskina666
Mislim da je i drugi jer kod onog nmap-ovog -A (general) scana nmap bi trebal vratit RST (odbij TCP handshake).
Ja sam našel da TCP/SYN flood često napada na sve portove tu https://www.imperva.com/learn/ddos/syn-flood/.
Ali da nisam ni ja siguran, baš jedan drugi kolega i ja isto to raspravljamo.
I ovo za IP adresu napadača, ništa nam ne garantira da nije i u drugom napadu koristil IP spoofing pa sad ko zna koja mu je zapravo IP adresa, ali eto.
Miskina666
Arfit
Malo je problem kaj netstat bude za obadvoje na isti način pokazal, ali tcpdump pokazuje reset ® flagove. Pa je možda najtočniji odgovor oboje?
Sad sam se i ja pogubil.
Vocko
Arfit Složio bih se, zadatak je nespretno postavljen (zbog ovoga ispisa kojeg kod skeniranja u pravilu ne bi bilo), ali mislim da je ideja zadatka bila da student vidi kako su u prvom slučaju konekcije isključivo na portu 80, a u drugom se slijedno prolazim po svim portovima pa bi to bilo skeniranje. Možda napisati ovako, a dodatno staviti napomenu da se naprednijim alatima za skeniranje te konekcije ne bi vidjele u netstat ispitu?
caffeine
batman da, jedino ne mogu naći ovo za Android, iako mi se čini da sam to čitala negdje, ne mogu naći prez gdje je.
Arfit
caffeine ma Android je u drugom ciklusu
johndoe
jel se pise uzivo ili online? ako je online, kakva je politika? kamera, mic, nesto?
MaIv
johndoe Uzivo
Miskina666
sprut da
Miskina666
boss15 U zadatku je zadano da su svi zahtjevi slani s jednog računala, a svi zahtjevi u prvom dijelu zadatka (TCP SYN flood) su s različitim IP adresama, prema tome pretpostaviš da su spoofane. U drugom su svi s iste poslani, pa pretpostaviš da je to ta IP adresa napadača, makar je iz lokalne podmreže.
boss15
a jel netko mozda rjesio 2. i 3. iz tog zi?
PiqueBlinders
boss15 2. TTL pokazuje koji je OS, slican sa labosa, ako je blizu 64 onda je linux, ako je blizu 128 onda je windows