Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?
Zde je otazka zda skenovaci bot je tupej (ceka ze se pripoji) nebo chytrej (ceka ze prijde nejaka nedorucenka od predchoziho uzlu) - viz jak funguje probing skrze TTL a icmp zpravy, napr. v ramci traceroute.
Ne, na ničem takovém nezáleží. Když počítač na nějaký paket neodpoví, je to ekvivalentní tomu, jako by tam vůbec nebyl nebo byl vypnutý. ICMP je speciální protokol, který můžete na firewallu filtrovat úplně stejně, jako UDP nebo TCP.
traceroute funguje na tom principu, že nastavuje omezenou životnost paketu (přes kolik uzlů může projít) a postupně ji zvyšuje. Tím zjistíte, kolik uzlů je po cestě a jaké mají adresy (pokud odpovídají). Ale neříká to nic o tom, co je za posledním uzlem, který vám odpověděl. Nemusí tam být nic, může tam být třeba vypnutý počítač, nebo tam může být počítač, který akorát na vaše požadavky neodpovídá – což ale neznamená, že neodpoví na požadavky někoho jiného.
3 Odpovědí
752 Zhlédnutí