Geht sogar noch "sicherer" aber natürlich auch etwas kostspieliger.
Server 1. Sämtliche Ports dicht, login nur via ssh2 key, ports dicht, usw Server 2. Webserver etc Nun richtet man es so ein, das Server 2, den SSH login NUR von der IP von Server 1 aktzeptiert, und Server 1 quasi zum loginserver wird. Damit wäre das Login mit Dynamsichen IP´s behoben, und die IP von Server 1 kennt keiner, da die Page auf Server 2 liegt. Lg Lex |
löl :D naja server 2 kann ja nen kleiner vserver für 6€ sein
|
Das müssen beides keine Hardware Server sein :)
Lg Lex |
ich weiß.. aber der 2. server dient ja quasi nur als "proxy" und muss deshalb nicht viel unter der haube haben..
|
Der 1. in meinem Beispiel ^^
Lg Lex |
jacke wie hose :D
|
Zitat:
Quelle: Wikipedia Auszug: LaBrea Eine bekannte Implementierung davon ist „LaBrea“, welches ein ganzes Netzwerk mit einem einzigen Teergruben-Dienst schützen kann. Der Teergruben-Computer lauscht auf unbeantwortete ARP-Requests (normalerweise eine unbenutzte Adresse) und beantwortet Anfragen an diese, d. h. er täuscht vor, die gesuchte IP-Adresse zu besitzen. Wenn er daraufhin das initialisierende SYN-Paket des Angreifers (häufig ein Portscanner) erhält, sendet er nur noch eine SYN/ACK-Antwort, danach nichts mehr. Für diese Verbindung wird kein Socket geöffnet und keine „echte“ Verbindung eingerichtet. Die Teergrube speichert keine Daten der Verbindung nach dem gesendeten SYN/ACK. Somit braucht die Teergrube keinerlei eigene Ressourcen wie Rechenzeit, Sockets, Speicher oder Netzwerkbandbreite. Der Computer der Remote-Seite (der „Angreifer“) sendet daraufhin sein ACK-Paket, um den für den Verbindungsaufbau nötigen 3-way-handshake abzuschließen. Schon dieses Paket wird von der Teergrube ignoriert, da aus Sicht des „Angreifers“ bereits eine etablierte Verbindung vorliegt. Er beginnt seine Daten zu senden, die jedoch niemanden erreichen. Da im TCP eine Bestätigung für jedes Paket vorgesehen ist, wird die Verbindung in der Regel nach einer Zeit durch ein Timeout unterbrochen. Bis dahin verharrt die sendende Maschine jedoch in einem Zustand, der darauf ausgelegt ist, die Verbindung zu einem potentiellen tatsächlichen Kommunikationspartner nach aller Möglichkeit aufrechtzuerhalten. Diese Kommunikation kostet Zeit und Rechenleistung, je nach Art des Netzwerkstacks (Anzahl der Wiederholungen, back-off, retransmit usw.) oft sogar sehr viel. Neuere Versionen von LaBrea sind um die Fähigkeit erweitert, später noch auf solche eingehende Pakete mit unsinnigen Antworten zu reagieren. Dafür werden Rohdaten (RAW IP packets) verwendet, damit keine Sockets oder andere Ressourcen des Teergrubenservers verwendet werden. Diese Pakete bringen den sendenden Server dazu, die Verbindung aufrechtzuerhalten und so wiederum noch mehr Zeit und Rechenleistung sinnlos zu verschwenden. Neben LaBrea gibt es zahlreiche weitere TCP-Teergruben, wie zum Beispiel TCP-Damping. Gruss Nehoz |
schäme dich das du jetzt erst auf die idee kommst einen post zu zitieren der schon ewig her ist^^:p
|
Woa verdammt , da habe ich beim durchstöbern des Portals nicht auf das Postdatum geachtet. Asche auf mein Haupt ;-).
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:02 Uhr. |
Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.