[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: schadensbegrenzung ?



Hallo,

[Sind hier solche technischen Diskussionen erwuenscht?]

> was spricht eigentlich dagegen, tcp-packete mit bestimmter destination-IP,
> destination-port 80 und dem string "GET /censored" zu droppen ? ich habe hier
> schon erfolgreich mit /usr/src/linux/net/ipv4/tcp_output.c gespielt und eine
> zwischengeschaltete linux-kiste vertraegt wohl jeder groessere ISP....

Dagegen spricht m.E., dass dies keine saubere Loesung ist. Ein TCP-
Stream ist ein Datenstrom und aus Sicht der Anwendung nicht paket-
orientiert. Wenn einzelne Pakete davon ausgefiltert werden, haengen
kaputte HTTP-Verbindungen in der Luft und warten auf Timeout. Das
belastet die Server, die ja haeufig nur eine Maximalzahl von Verbin-
dungen akzeptieren.

Ausserdem kostet es zuviel CPU Zeit (z.B. koennen ja auch Bilder und
sonstige Binaries ueber den HTTP-Port uebertragen werden, von denen
dann jedes TCP-Paket durchsucht werden muss), und es ist aufwendig zu
warten (fuer jede neue zu sperrende URL muss der Kernel neu installiert
werden).

> die staatsanwaltschaft wollte URL's und keine IP-adressen gesperrt haben.
> IP-adressen hat ECO daraus gemacht, womit das argument, andere angebote waeren
> betroffen, fragwuerdig wird.

Wenn ich Provider waere, wuerde ich
- einen HTTP-Proxy anbieten, und den Kunden nahelegen, diesen zu
  benutzen. Das ist aus Gruenden der Netzlast ohnehin sinnvoll,
  und eine Sperrung einzelner URL Patterns laesst sich damit
  einfacher und sauberer reaslisieren als auf TCP-Ebene.
- das Routing zu dem HTTP-Port des betroffenen Hosts ganz blockieren.

Damit ist die URL gesperrt, sonstige Dienste und Webseiten des frag-
lichen Hosts aber weiterhin verfuegbar. Es duerfte also den Auflagen
der Staatsanwaltschaft genuege getan sein, ohne den Vertrag mit dem
Kunden zu verletzen.

Davon unberuehrt bleibt natuerlich die Frage, ob es nicht trotzdem
moeglich ist, auf die unerwuenschten Inhalte zuzugreifen, z.B. via
Mirror-Sites. Aber wenn die Staatsanwaltschaft das nicht kapiert,
ist das deren Problem.

Gruss, Harald

-- 
Harald Weidner           http://www.ifi.unizh.ch/staff/weidner.html