abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:11 | Zajímavý článek

    Český telekomunikační úřad zveřejnil Výroční zprávu za rok 2024 (pdf), kde shrnuje své aktivity v loňském roce a přináší i základní popis situace na trhu. Celkový objem přenesených mobilních dat za rok 2024 dosáhl dle odhadu hodnoty přibližně 1,73 tis. PB a jeho meziroční nárůst činí zhruba 30 %. Průměrná měsíční spotřeba dat na datovou SIM kartu odhadem dosáhla 12,5 GB – v předchozím roce šlo o 9,8 GB.

    Ladislav Hagara | Komentářů: 1
    dnes 12:33 | IT novinky

    Z novinek představených na Google I/O 2025: Přehledy od AI (AI Overviews) se rozšiřují do dalších zemí. Užitečné, syntetizované přehledy od generativní AI jsou nově k dispozici i českým uživatelům Vyhledávače.

    Ladislav Hagara | Komentářů: 0
    dnes 11:44 | IT novinky

    Šestice firem označovaných jako „MAMAAN“ – tedy Meta (Facebook, Instagram), Alphabet (Google), Microsoft, Apple, Amazon a Netflix – je zodpovědná za více než padesát procent světového internetového provozu. Dalšími velkými hráči jsou TikTok a Disney+. Společně tak zásadně určují podobu digitálního prostředí, spotřebitelského chování i budoucích trendů v oblasti technologií. I přesto, že se podíl těchto gigantů od roku 2023 o něco snížil, jejich dominantní postavení zvyšuje volání po regulaci.

    Ladislav Hagara | Komentářů: 2
    dnes 11:33 | IT novinky

    Evropská komise (EK) navrhuje zavést plošný poplatek ve výši dvou eur (zhruba 50 Kč) za každý malý balík vstupující do Evropské unie. Poplatek se má týkat balíků v hodnotě do 150 eur (zhruba 3700 Kč), které v EU nepodléhají clu. V loňském roce bylo do EU doručeno kolem 4,6 miliardy takovýchto balíků. Poplatek má krýt náklady na kontroly rostoucího počtu zásilek levného zboží, které pochází především z Číny.

    Ladislav Hagara | Komentářů: 7
    včera 18:11 | IT novinky

    Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | Komunita

    V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

    Ladislav Hagara | Komentářů: 0
    včera 15:00 | Nová verze

    Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 5
    včera 12:22 | Pozvánky

    Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

    jose17 | Komentářů: 0
    včera 04:44 | IT novinky

    Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevily v únicích dat a případně se nechat na další úniky upozorňovat.

    Ladislav Hagara | Komentářů: 16
    19.5. 23:22 | Zajímavý software

    Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 14
    Jaký je váš oblíbený skriptovací jazyk?
     (61%)
     (22%)
     (9%)
     (2%)
     (0%)
     (0%)
     (6%)
    Celkem 54 hlasů
     Komentářů: 5, poslední včera 20:57
    Rozcestník

    pakety -m state --state ESTABLISHED,RELATED

    9.2.2012 12:32 | Přečteno: 1629× | Výběrový blog

    Tak nějak se mi zdá, že klasifikace iptables -m state --state ESTABLISHED,RELATED občas zašvindluje.

    U nás v práci máme hraniční router a v něm stovky pravidel iptables určujících, odkud kam se smí a nesmí. Někde skoro na začátku se skví tohle:

    # ACCEPT ustanovene spojeni
      iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    

    Očekává se od toho, že pakety patřící do již navázaného spojení (ESTABLISHED) a také pakety navazující nové spojení v rámci již běžící komplexnější komunikace (RELATED) budou bez dalšího odroutovány. Při tom do kategorie ESTABLISHED se počítají i pakety SYN-ACK odpovídající na úvodní SYN při navazování TCP soketu. Dobře, tak se to obvykle dělá. Jenže v logu routeru vidíme četné zakázané pokusy o navázání spojení iniciovaného z nějakého WWW serveru se zdrojovým portem 80, kde cílovým strojem je nějaká naše stanice vysoký port. Na první pohled to vypadá, jako kdyby WWW server byl asi kraknutý a snažil se připojit z portu 80 na pécéčko klienta.

    Avšak zdání klame. Ve skutečnosti šňupání paketů pomocí tcpdump ukázalo, že nic takového se neděje, žádné SYN pakety od cizích WWW serverů neběhají. Co se tedy děje? Nejspíš to, že od stanice odejde regulérní navazující SYN a modul -m state si ho nevšimne. Následně server vrátí potvrzující paket SYN-ACK a ten je vyhodnocen jako pokus o navázání spojení zvenčí na stanici a tedy odmítnut.

    Jiné vysvětlení mě nenapadá. Navazující SYN nemohl odejít jinudy, to je vyloučeno. A zakázaný paket od serveru musí mít nastavený příznak SYN, protože tam máme taky pravidlo

    
    iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j NOTSYN
    
    
    Kdyby ten nečekaný paket neměl SYN, byl by chainem NOTSYN zalogován jiným způsobem, než jak se to děje. Nevidím jinou možnost, než že modul -m state občas zachybuje. Což má ovšem za následek, že spojení je odmítnuto, klient to musí zkusit znovu a uživatel pak vidí zhoršenou odezvu.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    9.2.2012 14:02 ET
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    ciste teoreticky, nemohlo by to bejt kvuli necemu takovymu - http://en.wikipedia.org/wiki/Push_technology#HTTP_server_push

    tj. situace, kdy se pokousi web server kontaktovat klienta (browser), ale spojeni (na routeru) uz je zavreny - at uz kvuli timeoutu, nebo treba chybe na serveru

    asi bych se kouknul na ten www server co na nem bezi, popr. analyzou logu ohledne predchozich "uspesnych" spojeni

    dokazu si predstavit, ze dneska ten push pouziva nejaka ta webapp (IM) - co vim, tak minimalne se to pouziva na push-email

    9.2.2012 15:34 krnoha | skóre: 10 | blog: prizpevy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    Spíš myslím že ne. Když se na TCP spojení dlouho nic neděje, opravdu router může usoudit, že spojení není aktuální a příští paket potom bude vyhodnocen jako NEW. Ale ten příští paket nebude přece SYN? A když nebude, zamečuje pravidlo NEW_NOT_SYN a podle toho to bude zalogováno, což se ale neděje.

    vencour avatar 9.2.2012 15:53 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    A jsou po celé cestě stejné timeouty? V linuxu by měly platit jako zde uvedené ... ?

    Mimochodem, pokud je spojení vyhodnoceno jako prošlé, mělo by se o tom přes icmp či nějaký tcp/reset poslat info ...

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    9.2.2012 15:52 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    A nepřeplňuje se connection-tracking tabulka?

    9.2.2012 19:06 krnoha | skóre: 10 | blog: prizpevy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    Nevím,to bych měl vidět v logu? Log je hodně objemný, co mám grepovat? Zdá se mi to dobrá myšlenka, ale v logu nic nevidím.

    9.2.2012 20:24 Petr
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    10.2.2012 16:52 krnoha | skóre: 10 | blog: prizpevy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    V logu jádra není nic, co by ukazovalo na přeplnění tabulky pro conntrack. Škoda, vypadalo to jako slibný vysvětlení.

    9.2.2012 19:28 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    Tiež mám podozrenie, že tam niečo nefunguje dobre, ale nedokážem to na želanie nasimulovať a preukázať :-( Pozorujem to však spravidla na ssh spojení.
    10.2.2012 14:31 maleprase | skóre: 28
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    TCPKeepAlive by nepomohlo?
    11.2.2012 10:24 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    Pochybujem. Ono to nesúvisí s tým, že by sa na tom spojení neprenášali dáta. Práve naopak.
    11.2.2012 10:35 miro
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    jenže v logu routeru vidíme četné zakázané pokusy o navázání spojení iniciovaného z nějakého WWW serveru se zdrojovým portem 80, kde cílovým strojem je nějaká naše stanice vysoký port.
    Ve skutečnosti šňupání paketů pomocí tcpdump ukázalo, že nic takového se neděje, žádné SYN pakety od cizích WWW serverů neběhají.

    Pokud to router zahodí, tak je snad logické, že to dál po síti neběhá, ne? Nebo kde se to přesně zakáže a kde šňupete tcpdump-em?

    Jinak server nemusí poslat SYN+ACK v jednom paketu, může poslat ACK zvlášť a SYN zvlášť, a není vůbec nic proti RFC793, to říká, že ACK a SYN od serveru může být v jednom paketu. Že to tak být může, se časem nějak vytratilo z překladu, takže se na to přehnaně spoléhá, čehož využívá tzv. split handshake attack, na nějž jsou náchylné některé HW routery. Takže otázka je, jestli před iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT není ještě jiné pravidlo, které SYN od serveru (nesprávně) zahodí. Případně se může stát, že se ACK serveru ztratí (nebo zpozdí) někde po cestě k routeru a dorazí pouze SYN.

    11.2.2012 18:00 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    A to spousta lidi nevi takovou perlicku.
    11.2.2012 19:03 miro
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED
    Taky jsem neznal, pěkný :-)
    13.2.2012 19:17 krnoha | skóre: 10 | blog: prizpevy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    Až tak ??? Řekněme že klient i server jsou MS. Něco si řeknou a pak zavřou spojení. Uživatel klikne a IE pošle rovnou HTTP request. Pakety odejdou, protože ven pouštíme všecko. Server se zaraduje a pošle odpověď. Pakety od serveru nemečujou s podmínkou

    -m state --state ESTABLISHED,RELATED
    
    protože spojení nebylo řádně navázáno. Ale nemečujou ani s podmínkou
    -p TCP ! --syn -m state --state NEW 
    
    Není to sice SYN, ale není to ani NEW, protože před chvilkou tady nějaký provoz šel. Vypadá to divně, ale když vyslechnu uživatele postižených stanic a všichni se přiznají k použití MS IE, tak by to začalo vypadat jako docela dobrá hypotéza.

    13.2.2012 19:23 krnoha | skóre: 10 | blog: prizpevy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    Šňupáme samozřejmě na routeru. SYN který není NEW propouštíme. Zahozené něco od serveru šlo na stanici, která před chvilkou s tím samým serverem normálně komunikovala. Ta chyba není fatální, uživatelé vůbec nevědí, že jim něco nefunguje. Jenom mají asi delší odezvu.

    16.2.2012 14:41 krnoha | skóre: 10 | blog: prizpevy
    Rozbalit Rozbalit vše Re: pakety -m state --state ESTABLISHED,RELATED

    Ono to jenom vypadá jako pokus o pokračování spojení ze serveru na stanici, je to ze zdrojového portu 80 na nějaký vysoký port, ale není to tak. Číslo portu stanice je jiné než ze kterého šlo předchozí spojení. Takže to není chyba conntrack a dokonce ani chyba Microsoftu, je to jen obyčejný útok. Omlouvám se za zbytečné plašení. Jako IP adresy atakujících serverů jsou fingovány adresy oblíbených webových serverů, takže vlastně každému logovanému případu předcházelo skutečné připojení na tento server v nedávné minulosti.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.