パスワードを忘れた? アカウント作成
5414 story

RFC3514が実装されました 31

ストーリー by yoosee
これでセキュアな世の中があなたのものに 部門より

ribbon曰く、"4/1に公開されたジョークRFC RFC3514 ですが、 なんと、すでにFreeBSDに実装されています! 4/1付けで、 ip_output.c に28行ほどの追加がありました。 ジョークRFCの実装ってひょっとして初めてなんじゃないでしょうか。"

RFC3514 (邦訳)は本家でも IPv4 Headers Investigated, New RFC Adds "Evil Bit" と 2 つも取り上げられているが、悪意のある IPv4 パケットに識別の bit を立てると言うナイスなアイディア。実装してしまうセンスも素晴らしい。 他のソフトでも 続々 patch がリリース されている模様だ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 結構使えるかも (スコア:5, 参考になる)

    by tanimachi (4564) on 2003年04月02日 23時45分 (#291806) 日記
    このRFCから「悪意ある」という部分を切り落として、Firewallのたぐいは該当bitが1であるIPパケットを廃棄すると規定したとする。

    サーバプログラムにこのbitを立てるか立てないかオプションを作れば、Firewall外との通信可能・不可能をサービスの設定として制御できるので、それなりに使い勝手はあるかも。

    でも、外からの特定サービス向けDoS攻撃は防げないのか……。ま、返事が出て行かないのなら、攻撃対象サービスがあることもわかりにくいでしょう。

    # Firewallの中の人にだけサービスしないサーバも作れるけど……
    • by L.Nizah (7804) on 2003年04月02日 23時58分 (#291809)
      攻撃者が自分で「危険だよー」という辺りがジョークなのですが、
      「潜在的な危険があるかもしれないソフトウェアは、このビットを立てるようにする」というのはどうでしょう。
      スキャナ等のモロなツールはもちろん、チェックが十分ではない開発バージョンのソフトウェアとか。

      # もちろん、明確に意図して悪用する人には意味がありませんが(^^;
      親コメント
    • Re:結構使えるかも (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2003年04月03日 0時36分 (#291825)
      今まではmusu be 0で定義されていたbitだから、evilbit立てるだけで間抜けな実装しているルータやパケット監視装置を誤動作させたりエラーメッセージ大量に吐かせたりってな攻撃ができたりして。
      親コメント
      • by Anonymous Coward
        >今まではmusu be 0で定義されていたbitだから、evilbit立てるだけで間抜けな実装しているルータやパケット監視装置を
        >誤動作させたりエラーメッセージ大量に吐かせたりってな攻撃ができたりして。

        そう考えるとまさにevil bit。
        # いや、脆弱な機器を発見できるからいいのか?
        • 明日さっそく自社製品をFreeBSD4.8+patchで試してみます.

          いろいろインチキしてそうだしなぁ。

          この手のチェックしてはいけないものって結構ありますよね。
          ぱっと思い付く所だと、IPv6プレフックスのプレフィックス長以上のビットとか…
          0を入れ、無視すると。

          来年のジョークRFCで出ないかな
          親コメント
  • 言い訳のネタ(笑) (スコア:4, おもしろおかしい)

    by Landie(GRG) (6950) on 2003年04月03日 8時31分 (#291915) ホームページ
    「俺のツールはちゃんとEvil Bitを立てていたぞ。それを素通しするあんたらのサーバーが悪い!」
  • 2回ではなく… (スコア:3, 参考になる)

    by 37A (12754) on 2003年04月02日 23時37分 (#291793) ホームページ 日記
    >RFC3514 (邦訳)は本家でも IPv4 Headers Investigated, New RFC Adds "Evil Bit"
    >と 2 つも取り上げられているが

    1回目 [slashdot.org]
    2回目 [slashdot.org]
    3回目 [slashdot.org]
    4回目 [slashdot.org]
    5回目 [slashdot.org]

    --

    ----------------------------------------
    You can't always get what you want...
  • 似てるもの (スコア:3, すばらしい洞察)

    by ishizuki (458) on 2003年04月03日 10時08分 (#291959)
    まるで「未承諾広告※」がついた SPAM みたいな感じ.
  • by Anonymous Coward on 2003年04月02日 23時40分 (#291799)
    RFC2322「洗濯ばさみ DHCP」がすでに多くのところで実装されています。
    • by might (194) on 2003年04月03日 9時57分 (#291951) ホームページ
      RFC2322は、とある会場に集結したPC端末にIPを割り振る手段の運用例をRFC化したものだったはず。
      そういう意味では、実装例(運用例)があるのは当然のこと。

      そういった意味では、今まで誰も思いつかなかったアイデアを、OS上に実装したのは今回が初めてかもしれません。
      親コメント
  • 冗談の実装例 (スコア:2, 参考になる)

    by TCHIGUILA (7899) on 2003年04月02日 23時43分 (#291804) ホームページ 日記
    > ジョークRFCの実装ってひょっとして初めてなんじゃないでしょうか。

    RFC2322 の実装例 [kobitosan.net]ってのが先手ではないかと…
    --
    ちどりの「ち」きっての「き」…
  • 後は… (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2003年04月02日 23時44分 (#291805)
    これを実装した悪意のあるプログラムが実装されれば完璧ですね。
  • すばらしい対応状況 (スコア:2, おもしろおかしい)

    by minz (3213) on 2003年04月03日 5時35分 (#291900) ホームページ 日記
    > 続々 patch がリリース されている模様だ。
    nmap も対応か…。ウチの exploit たちも改造しなきゃ:)
    # evil bit を立てて投稿するする
    --
    みんつ
  • ごめんなさいっ! (スコア:2, おもしろおかしい)

    by kzru (4309) on 2003年04月03日 17時00分 (#292196) ホームページ
    ジョークと知らずに実装してしまいました。

    まさしく、嘘から出たまことだったりして。

    17時まで待ってID
  • Will be backed out (スコア:1, 参考になる)

    by Anonymous Coward on 2003年04月03日 4時11分 (#291892)
    さすがに冗談が過ぎるってことでback outするみたいだよ。
    • by Anonymous Coward on 2003年04月03日 7時13分 (#291905)
      > さすがに冗談が過ぎるってことでback outするみたいだよ。

      いや、冗談が過ぎるって理由はかっこ悪いな。
      evilbitを実装しない論理的っぽい理由が欲しいな。

      例えば、
      ・悪意あるルータによってevilbitが立てられた場合、正常な通信ができなくなる
      ・新たなセキュリティホールとなる(クラックの実例があるとcool)
      ・evilbitをリレーの途上でマスク/反転された場合

      特にリレー途上の問題の場合は、問題箇所の追及が難しい。

      とか・・・
      親コメント
    • by Anonymous Coward
      毎年 4 月 1 日だけ使えるようにする、とかどうよ。
  • by Anonymous Coward on 2003年04月03日 10時12分 (#291963)
    Chris Green 曰く、Snort は Sid 523 のシグネチャでこのトラフィックを検知可能だそうです。

    さぁて、他の IDS はどうかな?
    Anomaly 型なら検知するだろうけど。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...