[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[OT] Leserbrief an Heise wg. angeblicher SCO-Panne



Untenstehendes ging soeben an den Heise-Verlag, weil sie mal wieder
wilde Spekulationen anstellen über Themen, zu denen die Redaktion
keinerlei Kompetenz vorweisen kann.

Es geht um: <http://www.heise.de/newsticker/data/jk-11.12.03-001/>

Hoffentlich sind andere Artikel besser recherchiert. 8-(

To: ct@ct.heise.de
Subject: SCO vs. Linux: Attacke oder Panne?

Hallo,

es finden derzeit definitiv Angriffe statt, die auch global im Netz zu
beobachten sind: Der oder die Angreifer schicken SYN-Floods auf TCP-Port
80 an 216.250.128.12 mit gespooften Quelladressen. Jeder, der ordentlich
Adreßraum hat und Flows analysiert bzw. tcpdump anwerfen kann, ist in
der Lage, das zu beobachten, weil der SCO-Server SYN-ACKs bzw. RSTs an
die gespooften Adressen zurückschickt.

Da die Angriffe inzwischen wieder begonnen haben, finde ich Ihre
Unterstellung, es handle sich um selbstverschuldete Probleme, ziemlich 
perfide. Auch ist die von Ihnen vorgeschlagene Maßnahme, SYN-Cookies zu
aktivieren, nicht immer hilfreich (wobei dieses Feature im Moment
offenbar nicht aktiv ist, da der SCO-Server Retransmits von
SYN-ACK-Segementen durchführt). Die Erfahrung zeigt, daß bei solchen
Gegenmaßnahmen Angreifer einfach die Bandbreite soweit erhöhen, daß
entweder der IP-Stack des Hosts nicht mehr mitkommt (relativ leicht
möglich bei Linux, leider) oder die Netzinfrastruktur des Opfers
wegbricht. Einen simplen Schalter, mit dem man DoS-Gegenmaßnahmen
aktivieren kann, gibt es jedenfalls nicht.

Meines Erachtens ist hier eine Entschuldigung von Ihrer Seite fällig.

Mit freundlichem Gruß
Florian Weimer

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de