Ik heb nu bij mij thuis het zo dicht gegooid dat ICMP nog gewijgerd wordt van buitenaf in de firewall. Maar nu hoor ik dat het officieel niet mag. Waarom zou ik mijn server niet volledig dicht mogen gooien ?
tnx.
tnx.
van wie mag dat niet dan 
zou niet weten waarom niet hoor, ik kan het mishebben maar t lijkt me sterk dat het verboden is oid
zou niet weten waarom niet hoor, ik kan het mishebben maar t lijkt me sterk dat het verboden is oid
:strip_exif()/u/53157/thai4.gif?f=community)
This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.
ik heb uitgaande alles open .. maar binnenkomend alles dicht. Intern mag wel alles heen en weer. (dichter kan het niet)
offtopic:
Heej veldmuis, powered bij servicez ... das dood man, alweer
Heej veldmuis, powered bij servicez ... das dood man, alweer
dan nog komt er niks terug:
ik heb uitgaande alles open .. maar binnenkomend alles dicht. Intern mag wel alles heen en weer. (dichter kan het niet)
offtopic:
Heej veldmuis, powered bij servicez ... das dood man, alweer
tenzij open verbindigen een "keep state" aanhebben zodat er een reply terug mag komen
This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.
/u/24313/tuxcrystal6060.png?f=community)
Misschien als je het in NT had geplaatst je iets meer antwoord had gekregen 
Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein
ik heb naar buiten gewerkt, en gaat allemaal perfect, ik maak gewoon gebruik van die setup -> established
:strip_icc():strip_exif()/u/63314/freebsd.jpg?f=community)
ik heb alles gewoon lopende, het werkt perfect .. maar ik heb rond geneust en gekeken toen mij gezegt werd dat ik ICMP open MOEST zetten .. en opzicht weet hij wel wat af van het hele TCP/IP gebeuren .. maar hij had er geen reden voor. Dus ik wil weten of ICMP van buiten naar binnen echt zo belangrijk is ?
:strip_icc():strip_exif()/u/29534/moto-icon.jpg?f=community){kind=icon}
Laten we het omkeren : Waarom wil je het perse dicht hebben ? Ik kan nog steeds je verbinding dichtkrijgen met een pingflood, dus je schiet er weinig mee op .. Verder vind ik het gewoon evil, om dingen die standaard horen te kunnen, zoals bijv. pingen, door iemand uitgezet worden.. Ik denk dat als je dit vraagt in PNS, dat mensen precies hetzelfde zullen zeggen: Dus ik wil weten of ICMP van buiten naar binnen echt zo belangrijk is ?
God, root, what is difference? | Talga Vassternich | IBM zuigt
Juist, tis weer een standaard die je op deze manier aan je laars lapt, en dat gebeurt nogal veel de laatste tijd. En wie heeft er nou last dat z'n machine via ICMP te bereiken is
God, root, what is difference? | Talga Vassternich | IBM zuigt
Verwijderd
niemand heeft er last van maar om het nou evil te noemen...
die standaarden zijn er voor mensen die een server voor het een of ander hebben...
kijk nou eens wat b.v. zonealarm standaard doet.
je hebt wel gelijk dat er een standaard wordt genegeerd en ik zou het zelf nooit doen (nou ja... )
die standaarden zijn er voor mensen die een server voor het een of ander hebben...
kijk nou eens wat b.v. zonealarm standaard doet.
je hebt wel gelijk dat er een standaard wordt genegeerd en ik zou het zelf nooit doen (nou ja...
)
/u/15664/crop6881d8a8bb43f_cropped.png?f=community)
Please explain ? Ik gebruik Linux al 6 jaar, ik heb nooit zonealarm gebruikt
Daarom, standaards zijn er niet voor niks, het eerste wat een helpdesk van een internetprovider probeert : De klant te pingen, om te kijken of alles nog werkt, of voor een traceroute e.d., ik vind het gewoon niet netjes, om een standaard op deze manier te verkloten, om iemand bang is voor IMCP-pakketjes.je hebt wel gelijk dat er een standaard wordt genegeerd en ik zou het zelf nooit doen (nou ja...
God, root, what is difference? | Talga Vassternich | IBM zuigt
Verwijderd
LOL:
[...]
Please explain ? Ik gebruik Linux al 6 jaar, ik heb nooit zonealarm gebruikt
helemaal mee eens maar dan moet er nog steeds niet worden gezegd dat het evil is. En trouwens je bent niet verplicht je aan die standaards te houden... lees de reply hier boven 's blijkbaar willen sommige mensen graag hun pc "helemaal" dicht zetten.
FreeBSD 4.6 :strip_icc():strip_exif()/u/4444/icoon.jpg?f=community)
Volgens mij is de ping of death al lang achterhaald, allemaal oude OS'en die je maar zelden tegenkomt hebben die fout nog, tegenwoordig is dat toch niet meer zo'n probleem
Eeuwige n00b
Verwijderd
De kernel kan dat perfect, hiervoor heb je iptables niet nodig:
echo "1" > /proc/sys/net/ipv4icmp_echo_ignore_all
echo "1" > /proc/sys/net/tcp_syncookies
En dan testen natuurlijk
echo "1" > /proc/sys/net/ipv4icmp_echo_ignore_all
echo "1" > /proc/sys/net/tcp_syncookies
En dan testen natuurlijk
/u/26742/000000751.png?f=community)
OMFG 
ICMP blokkeren is bepaald stom, aangezien ICMP *heel* wat meer is dan alleen echo requests (en ik vraag me af waarom je die zou willen blokkeren). En het is onzin dat ISPs ICMP blokkeren (ik heb zelfs nog nooit een provider gezien die ICMP echo request blokkeert).
ICMP is een van de meest nuttige protocollen die over IP gebruikt worden. Ik noem: Net unreachable, Host unreachable, Protocol unreachable, Port unreachable, Fragmentation needed and DF set, Source route failed, Source quench, Redirect datagrams for the network, Redirect datagrams for the host, Redirect datagrams for the type of service and network, Redirect datagrams for the type of service and host, Time to live exceeded in transit, Fragment reassemble time exceeded, Parameter problem, Timestamp, Information request.
Als een router jou wil vertellen dat een computer niet bereikbaar is, dan flikker je die informatie dus fijn weg (en kun je dus op een time-out wachten). Als er iets mis is met de verbinding: zelfde verhaal.
Als de MTU te klein is zou je er wel bijkunnen als je de packetgrootte aan zou passen. Maar jouw OS hoort dat nooit, want dat wordt geblokkeerd. Idem voor redirects.
Als de TTL verloopt krijgt je OS dat niet te horen; packets verdwijnen dan gewoon.
Als routers via ICMP informatie aan je willen vragen (die ze mogelijk nodig hebben voor routing), negeer je dat ook botweg.
En bovendien block je dus echo requests, wat lomp is. En iemand die er een beetje vanaf weet kan meestal toch wel bepalen of je computer up is, ping replies or no.
ICMP blokkeren is bepaald stom, aangezien ICMP *heel* wat meer is dan alleen echo requests (en ik vraag me af waarom je die zou willen blokkeren). En het is onzin dat ISPs ICMP blokkeren (ik heb zelfs nog nooit een provider gezien die ICMP echo request blokkeert).
ICMP is een van de meest nuttige protocollen die over IP gebruikt worden. Ik noem: Net unreachable, Host unreachable, Protocol unreachable, Port unreachable, Fragmentation needed and DF set, Source route failed, Source quench, Redirect datagrams for the network, Redirect datagrams for the host, Redirect datagrams for the type of service and network, Redirect datagrams for the type of service and host, Time to live exceeded in transit, Fragment reassemble time exceeded, Parameter problem, Timestamp, Information request.
Als een router jou wil vertellen dat een computer niet bereikbaar is, dan flikker je die informatie dus fijn weg (en kun je dus op een time-out wachten). Als er iets mis is met de verbinding: zelfde verhaal.
Als de MTU te klein is zou je er wel bijkunnen als je de packetgrootte aan zou passen. Maar jouw OS hoort dat nooit, want dat wordt geblokkeerd. Idem voor redirects.
Als de TTL verloopt krijgt je OS dat niet te horen; packets verdwijnen dan gewoon.
Als routers via ICMP informatie aan je willen vragen (die ze mogelijk nodig hebben voor routing), negeer je dat ook botweg.
En bovendien block je dus echo requests, wat lomp is. En iemand die er een beetje vanaf weet kan meestal toch wel bepalen of je computer up is, ping replies or no.
Verwijderd
Om DoS te vermijden mss?:
OMFG
ICMP blokkeren is bepaald stom, aangezien ICMP *heel* wat meer is dan alleen echo requests (en ik vraag me af waarom je die zou willen blokkeren). En het is onzin dat ISPs ICMP blokkeren (ik heb zelfs nog nooit een provider gezien die ICMP echo request blokkeert).
ICMP is een van de meest nuttige protocollen die over IP gebruikt worden. Ik noem: Net unreachable, Host unreachable, Protocol unreachable, Port unreachable, Fragmentation needed and DF set, Source route failed, Source quench, Redirect datagrams for the network, Redirect datagrams for the host, Redirect datagrams for the type of service and network, Redirect datagrams for the type of service and host, Time to live exceeded in transit, Fragment reassemble time exceeded, Parameter problem, Timestamp, Information request.
Als een router jou wil vertellen dat een computer niet bereikbaar is, dan flikker je die informatie dus fijn weg (en kun je dus op een time-out wachten). Als er iets mis is met de verbinding: zelfde verhaal.
Als de MTU te klein is zou je er wel bijkunnen als je de packetgrootte aan zou passen. Maar jouw OS hoort dat nooit, want dat wordt geblokkeerd. Idem voor redirects.
Als de TTL verloopt krijgt je OS dat niet te horen; packets verdwijnen dan gewoon.
Als routers via ICMP informatie aan je willen vragen (die ze mogelijk nodig hebben voor routing), negeer je dat ook botweg.
En bovendien block je dus echo requests, wat lomp is. En iemand die er een beetje vanaf weet kan meestal toch wel bepalen of je computer up is, ping replies or no.
Verwijderd
idd daarom ook die link op deze site staan de affected systems (freeBSD hoger dan 2.0 staat bij safe):
[...]
Volgens mij is de ping of death al lang achterhaald, allemaal oude OS'en die je maar zelden tegenkomt hebben die fout nog, tegenwoordig is dat toch niet meer zo'n probleem
Ping Of Death is al sinds 1996 achterhaald... dit gaat je niet meer lukken nu je zal een alternatief moeten zoeken om een PC te crashen met Ping gaat dit niet meer
maar bandbreedte kan je nog wel redelijk dicht krijgen...
[ Voor 0% gewijzigd door Verwijderd op 01-11-2002 09:03 . Reden: rectificatie ]
:strip_exif()/u/6356/eliza.gif?f=community)
Een DoS kan je niet vermijden door ICMP uit te zetten.
Wat denk je dat er gebeurt als jij ICMP blockt in je firewall ? Dat bij je provider de switch poort veranderd zodat deze geen ICMP meer doorlaat ofzo
Das dus niet het geval. Alle packets gaan nog net zo hard naar je machine toe. Daar wordt op een laag niveau bekeken of je die verder wilt laten gaan naar de application layer of dat hij hem moet droppen. ICMP uitzetten heeft wat dat betreft niet tot gevolg dat je niet meer geDoSed kan worden. Het helpt misschien alleen preventief omdat ze denken dat je machine uit staat.
:strip_exif()/u/19018/proza.gif?f=community)
Ik zet op risico machines (zoals ik die wel heb ) icmp echo vaak uit, puur omdat 't de helft scheelt als je een 100mbit pingflood op je neus krijgt.
Verder; lekker laten stromen. Thuis is 't niet beantwoorden van pings ook niet zo nuttig.
) icmp echo vaak uit, puur omdat 't de helft scheelt als je een 100mbit pingflood op je neus krijgt.Verder; lekker laten stromen. Thuis is 't niet beantwoorden van pings ook niet zo nuttig.
:strip_exif()/u/8968/Savingprivatebrian2b_60x60.gif?f=community)
Sommige replies vat ik niet helemaal.
ICMP (type 8 ) uitzetten is dood normaal bij firewalls.
Waarom? Omdat je dan je machine "beter" vebergt..
Iemand pingt jou, krijgt geen respons, en denk van hmm die is down.
Heb jij alle poorten dicht maar wel ping aan, dan weet ie iig dat er een host aanhangt
Maw. ik zet altijd ICMP type 8 uit... omdat ik mijn pc beter wil verbergen.
ICMP (type 8 ) uitzetten is dood normaal bij firewalls.
Waarom? Omdat je dan je machine "beter" vebergt..
Iemand pingt jou, krijgt geen respons, en denk van hmm die is down.
Heb jij alle poorten dicht maar wel ping aan, dan weet ie iig dat er een host aanhangt
Maw. ik zet altijd ICMP type 8 uit... omdat ik mijn pc beter wil verbergen.
[ Voor 0% gewijzigd door Redje op 01-11-2002 16:21 . Reden: smiley 8 ) ]
Verwijderd
Zeg wie denk je wel dat je bent? Ik heb al een jaar last van DoS op mijn server en ik weet heus wel wat helpt en wat niet.:
[...]
Een DoS kan je niet vermijden door ICMP uit te zetten.
Wat denk je dat er gebeurt als jij ICMP blockt in je firewall ? Dat bij je provider de switch poort veranderd zodat deze geen ICMP meer doorlaat ofzo
Das dus niet het geval. Alle packets gaan nog net zo hard naar je machine toe. Daar wordt op een laag niveau bekeken of je die verder wilt laten gaan naar de application layer of dat hij hem moet droppen. ICMP uitzetten heeft wat dat betreft niet tot gevolg dat je niet meer geDoSed kan worden. Het helpt misschien alleen preventief omdat ze denken dat je machine uit staat.
Verwijderd
Dat bedoel ik dus. Al die traffic wordt anders aangerekend... En ik kan je verzekeren dat dat maandelijks kan oplopen tot enkele honderden euro's
Verwijderd
Vooral eigenwijs zijn
Als jij een echo reply uitzet, dan is het verschil je upstream bandbreedte.
Stel voor dat je lijn 100 KB/sec is en er volgt een pingflood met minimaal die specificaties, dan zit je complete downstreem bandbreedte dicht zeg maar
Daar helpt je firewall dus helemaal niks aan. Het inkomende verkeer gaat verdeeld worden. Kortom jouw internet is nauwelijks bruikbaar; zelfs als je upstream bandbreedte groter zou zijn dan je downstream bandbreedte.
Inderdaad zorg je door ratelimiting of uitzetten van een ping-reply ervoor dat je upstream bandbreedte niet dicht gaat zitten, aangezien die bandbreedte vaak veel kleiner is dan de downstream bandbreedte.
Conclusie; uitzetten/ratelimiting helpt wel iets, maar kan nooit een echte zware aanval goed doorstaan, aangezien je daarvoor bij je ISP moet zijn
Overigens zoals gezegd, wil je echt niet alle ICMP verkeer blokkeren; dat is ronduit stom te nomen. Je wil slechts een aantal type ICMP-paketten uit zetten. Degene die al in deze topic genoemd zijn. Echo-request en reply zijn voorbeelden van bepaalde ICMP-types.
/u/31090/bla.png?f=community)
Daar hebben we 't toch al de hele tijd over?
Ik vond dat je alles open kon laten, behalve als je pingfloods verwacht, dan zou je icmp echo uit kunnen doen.
Ja klopt maar er zijn hier meer mensen, dat bedoelde ik eigenlijk
en dan vooral als men zegt "lees dan zie je het vanzelf" en "er staan er aantal bij die je zeker niet wilt" .... vertel nu eens welke je dan zou willen blocken van al die andere dan echo en waarom je dat zou willen.
en dan vooral als men zegt "lees dan zie je het vanzelf" en "er staan er aantal bij die je zeker niet wilt" .... vertel nu eens welke je dan zou willen blocken van al die andere dan echo en waarom je dat zou willen.
Why is called tourist season, if we can't shoot them ? specs
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
Waarschijnlijk overbodig dit maar ehh.....gozers bedankt voor dit topic eindelijk iets dat mij flink interesseert!!
Ben namelijk cisco ventje in opleiding
Ben namelijk cisco ventje in opleiding
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
De reden waarom ik er nier verder over begin is omdat dit al tig keer is gezegd. Als ik het nog keer zou doen is dat een beetje verspilling. Kijk hier (http://qb0x.net/papers/Scans/ICMP_Scanning_v2.5/) eens naar, 148 kantjes over ICMP, hier kom je echt een heel eind mee. Mocht je nog meer willen, ... GOOGLE!:
Ja klopt maar er zijn hier meer mensen, dat bedoelde ik eigenlijk
en dan vooral als men zegt "lees dan zie je het vanzelf" en "er staan er aantal bij die je zeker niet wilt" .... vertel nu eens welke je dan zou willen blocken van al die andere dan echo en waarom je dat zou willen.
Verder, een goude tip voor computerveiligheid. Zet altijd alles uit wat je niet gebruikt, niet (buitengewoon) nuttig is of wat gevaar kan opleveren.
Pagina: 1