[SUI] Međuispit - 2020/2021

nekomutativna

Tema za međuispit iz Sigurnosti u internetu 2020./2021. za razmjenu pitanja i odgovora skupljenih prošlogodišnjih ispita i rješavanje općenitih nejasnoća vezanih uz gradivo.

behappy98

Imaju li igdje stari ispiti?

HotPotato

Zna li netko odgovore na ova dva pitanja?

Vjerojatno će biti ova pitanja ili varijacije na njih na ispitu, pa bi bilo lijepo kada bi ih riješili.

Pitanja su iz ovog fajla: https://github.com/studosi-fer/SUI/blob/master/ispiti/zi/SUI_ZI_2016-17.pdf

Miskina666

HotPotato

Prvi - napadi

Denial of service napadi jer te floodaju s TCP zahtjevima. Prvi napada preko HTTP (port 80) zahtjeva, a drugi ti flooda sve portove TCP zahtjevima. Ako pretpostavimo da je sve s istog računala onda je vjerovatno u prvome napadu korišten IP spoofing pa je prema tome napadačeva adresa 83.129.34.220.

Drugi - konfiguracija firewalla

a)

iptables -A INPUT -p tcp -s 99.98.46.10 --dport 23 -j ACCEPT

Ako dodatno očemo ostalima onemogućit (makar je već u tablici onemogućeno koliko vidim):

iptables -A INPUT -p tcp -s ! 99.98.46.10 --dport 23 -j DROP

b)

iptables -A INPUT -p tcp -s 10.0.0.1/16 -i eth1 --dport 53 -j ACCEPT
iptables -A INPUT -p dcp -s 10.0.0.1/16 -i eth1 --dport 53 -j ACCEPT

Dozvoli da se priključi na port 53, pomoću TCP/UDP-a, računalima samo iz podmreže 10.0.0.1/16 preko interfacea eth1

Dodatno za output, makar su već svi outputi enablani.

iptables -A OUTPUT -p tcp -d 10.0.0.1/16 -o eth1 --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d 10.0.0.1/16 -o eth1 --sport 53 -j ACCEPT

Ovo za OUTPUT se more još poboljšati dodatnim flagovima za stanja kod outputa (ja mislim).

c)

Dopušteno je zato što je HTTP uz korištenje SSL/TSL-a zapravo HTTPS koji koristi port 443. To je omogućeno postavljenim, defaultnim pravilom za OUTPUT:
:OUTPUT [0:0] ACCEPT

Napomena: pravila ‘-A OUTPUT -p tcp -m tcp –dport 80/8080 -j DROP’ onemogučuju obični HTTP

d)

iptables -A OUTPUT -p tcp --dport 25 -d 161.53.72.233 -j ACCEPT

Omoguci pristup SMTP-om(TCP port 25) na danu IP adresu.

e)

iptables -A INPUT -i eth0 -s 10.0.0.1/16 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.1/16 -j DROP

Ako imaš masku unutarnje mreže, a pokušavaš se priključiti preko vanjskog interface-a na sam firewall ili nekog iz unutarnje mreže - doviđorno

f)

Prihvatit će ih zbog pravila: -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT, koje prihvaća sve konekcije na port 22 (SSH), od bilo kojeg IP-a i preko bilo kojeg
interface-a.

DISCLAIMER

Nisam siguran u točnost ovih rješenja, ali ovako (otprilike) bi ih ja rešil trenutnim znanjem.

batman

HotPotato to spada sad pod gradivo za MI ?

HotPotato

Miskina666

Arfit

Miskina666 Denial of service napadi jer te floodaju s TCP zahtjevima. Prvi napada preko HTTP (port 80) zahtjeva, a drugi ti flooda sve portove TCP zahtjevima. Ako pretpostavimo da je sve s istog računala onda je vjerovatno u prvome napadu korišten IP spoofing pa je prema tome napadačeva adresa 83.129.34.220.

Dakle, u prvom slučaju se očito radi o SYN floodingu uz IP spoofing.

Zar se u drugom slučaju ne radi o port scanningu ?

ardi

Miskina666 iptables -A INPUT -p dcp -s 10.0.0.1/16 -i eth1 –dport 53 -j ACCEPT

pretpostavljam da si ovdje mislio -p udp?

boss15

Miskina666 sta nije IP napadaca ovaj foreign 162. .. .137 ? Evo iz dokumentacije

Local address The IP address of the local computer and the port number being used. The name of the local computer that corresponds to the IP address and the name of the port is shown unless the -n parameter is specified. If the port is not yet established, the port number is shown as an asterisk ().
Foreign address The IP address and port number of the remote computer to which the socket is connected. The names that corresponds to the IP address and the port are shown unless the -n parameter is specified. If the port is not yet established, the port number is shown as an asterisk ().

Miskina666

Arfit

Mislim da je i drugi jer kod onog nmap-ovog -A (general) scana nmap bi trebal vratit RST (odbij TCP handshake).
Ja sam našel da TCP/SYN flood često napada na sve portove tu https://www.imperva.com/learn/ddos/syn-flood/.

Ali da nisam ni ja siguran, baš jedan drugi kolega i ja isto to raspravljamo.

I ovo za IP adresu napadača, ništa nam ne garantira da nije i u drugom napadu koristil IP spoofing pa sad ko zna koja mu je zapravo IP adresa, ali eto.

Miskina666

Arfit
Malo je problem kaj netstat bude za obadvoje na isti način pokazal, ali tcpdump pokazuje reset ® flagove. Pa je možda najtočniji odgovor oboje?
Sad sam se i ja pogubil.

Vocko

Arfit Složio bih se, zadatak je nespretno postavljen (zbog ovoga ispisa kojeg kod skeniranja u pravilu ne bi bilo), ali mislim da je ideja zadatka bila da student vidi kako su u prvom slučaju konekcije isključivo na portu 80, a u drugom se slijedno prolazim po svim portovima pa bi to bilo skeniranje. Možda napisati ovako, a dodatno staviti napomenu da se naprednijim alatima za skeniranje te konekcije ne bi vidjele u netstat ispitu?

caffeine

batman da, jedino ne mogu naći ovo za Android, iako mi se čini da sam to čitala negdje, ne mogu naći prez gdje je.

Arfit

caffeine ma Android je u drugom ciklusu

johndoe

jel se pise uzivo ili online? ako je online, kakva je politika? kamera, mic, nesto?

MaIv

johndoe Uzivo

Miskina666

sprut da

Miskina666

boss15 U zadatku je zadano da su svi zahtjevi slani s jednog računala, a svi zahtjevi u prvom dijelu zadatka (TCP SYN flood) su s različitim IP adresama, prema tome pretpostaviš da su spoofane. U drugom su svi s iste poslani, pa pretpostaviš da je to ta IP adresa napadača, makar je iz lokalne podmreže.

boss15

a jel netko mozda rjesio 2. i 3. iz tog zi?

PiqueBlinders

boss15 2. TTL pokazuje koji je OS, slican sa labosa, ako je blizu 64 onda je linux, ako je blizu 128 onda je windows

Sljedeća stranica »