1. Куча / Говнокод #25680

    0

    1. 1
    https://habr.com/ru/post/456558/

    Какой багор )))))))))))))))))))))))))))))))))))))))) ))))))))))))))))))

    Запостил: AHCKuJlbHblu_nemyx, 19 Июня 2019

    Комментарии (80) RSS

    • Остановите землю, я сойду
      Ответить
    • Сканом портов занимаются все, кому не лень, и в первую очередь - google.
      Закон этого не запрещает.
      Ответить
    • а мне всеравно непонятно как они корс обошли
      Ответить
      • Никак. В комментариях можно найти ответ.

        Браузер перед запросом GET/POST посылает запрос OPTIONS, чтобы прочитать заголовки для CORS. Если CORS разрешает запросы, то он посылает настоящий запрос GET/POST. Если CORS запрещает, то он запросы GET/POST посылать не будет, но ведь запрос OPTIONS он уже послал без спросу (иначе он не узнает правила CORS)!
        Ответить
        • показать все, что скрытоvanished
          Ответить
          • Как пишут в комментариях — по времени ответа. Если на порту висит DROP, то завершение запроса придётся ждать долго. Если запрос завершился быстро — значит, либо порт открыт, либо там REJECT.
            Ответить
            • показать все, что скрытоvanished
              Ответить
              • А я — за «iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT; iptables -A INPUT -j DROP»!
                Ответить
                • показать все, что скрытоvanished
                  Ответить
                  • показать все, что скрытоvanished
                    Ответить
                    • показать все, что скрытоvanished
                      Ответить
                    • Я против этих новомодных надстроек над netfilter. Они унылы, не обладают всей массой возможностей iptables, не дают такой же степени контроля и вдобавок просто-таки блевотно многословны.
                      Ответить
                      • показать все, что скрытоvanished
                        Ответить
                        • Да, перепутал, но я тут применяю теорему Эскобара. По сравнению с возможностями и тонкостью контроля, которые дают iptables, сосут все.

                          Но, конечно, если нужно просто закрыть порты — то iptables будут излишне сложными.
                          Ответить
                          • показать все, что скрытоvanished
                            Ответить
                            • > Например, в pf можно определить таблицу и налету добавлять/удалять из нее адреса через сишный API.
                              В «iptables» для такого используется «ipset». Правда, API у него — то ещё дерьмо, но оно таки есть (см. «libipset»).

                              Кстати, а в pf есть аналог «-m recent» (https://manpages.debian.org/unstable/iptables/iptables-extensions.8.en.html#recent)? Эта фигня крайне мощная, в сочетании с остальными возможностями «iptables» позволяет строить прямо-таки интеллектуальные фильтры.
                              Ответить
                              • показать все, что скрытоvanished
                                Ответить
                                • > Это типа одно правило складывает адреса в лист, а другое проверяет?
                                  С помощью «recent» можно складывать в лист адреса-источники пакетов, выбранных по произвольному критерию. Например, можно добавлять в вайтлист всех, кто послал пакет с определённым содержимым на определённый порт, причём не обязательно, чтобы порт был открыт.

                                  Собственно, в своё время я знатно ебался с созданием антидудоса под древнюю игрушку, работающую по UDP — вот там без таких штук никак не обойтись было.

                                  > Все эти ваши iptables-extensions же работают в ядре, в netfilter?
                                  > Это может и быстрее, но сложнее. Я бы в ядре только NAT делал.
                                  В хуйлоаде каждая инструкция дорога. В то же своё время я для пирфоманса переносил часть правил из таблички «filter» в табличку «raw» (где пакеты отбрасывались до обработки conntrack'ом) — и это давало ощутимый результат.
                                  Ответить
                                  • показать все, что скрытоvanished
                                    Ответить
                                    • Добавлю: айпические таблицы вне конкуренции тогда, когда нужно софтверно отражать очень сложные L3-L4 атаки. Я бы сравнил их с реактивным самолётом: трудно осваивать, сложно летать, зато охуенно быстро и гибко (лети куда хочешь). А разные «юзер-френдли» надстройки и аналоги — это эдакий гироскутер: сел и поехал.

                                      Единственное, что вызывало у меня опасение — это виндовый фаерволл. Ничто в мире не бывает более беспомощным, безответственным и порочным, чем фаерволл с тремя кнопками. Я знал, что рано или поздно мы перейдем и на эту дрянь.
                                      Спермоволл — это такое кастрированное говно, что плакать хочется (когда пытаешься его настроить). Серьёзно, там можно задать программу, протокол, порты и список адресов, пакеты с которых будут либо блокироваться, либо пропускаться. Всё, блядь, больше — ничего!
                                      Ответить
                                      • показать все, что скрытоvanished
                                        Ответить
                                        • Под «софтверно» я имею в виду правилами фаерволла, а не специализированными железяками. И именно из-за переноса в юзерспейс pf будет серьёзно уступать по скорости таблицам, да.

                                          > виндовый файрвол достаточно гибок для декстопа (в режиме advanced firewall)
                                          Ну хз, я как-то попытался настроить примитивную обработку трафика — и пригорел. Там же даже адаптер, на который прилетел пакет, задать нельзя!

                                          > Windows filtering platform, тоесть апять таки апи коего у прыщей нет
                                          Ознакомился с API, на первый взгляд — довольно ограниченная штуковина, условия уж больно простые. Можно, конечно, фильтровать «callout driver»'ом, но с абсолютно таким же успехом можно и для айпических таблиц написать расширение и течь.

                                          > кроме того есть MS ISA (Forefront), и там можно овердохуя всего
                                          Уже нет. 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка была прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не доступен для приобретения с 1 декабря 2012 года.

                                          > давайти все таки не скатываться в лоровское прыщедрочерство
                                          Давайте! Виндовый фаерволл мне просто так вспомнился, и я прекрасно понимаю, что в ориентированной на десктоп ОСи монстр-комбайн уровня айпических таблиц не нужен.
                                          Ответить
                          • показать все, что скрытоvanished
                            Ответить
                        • Кстати, «iptables» полны по Тьюрингу: https://sgros.blogspot.com/2011/09/implementing-turing-machine-using.html. Именно поэтому я за «iptables».
                          Ответить
                          • А у Вас есть что-нибудь неполное по Тьюрингу?
                            Ответить
                            • Мокросы. В них нельзя упасть в рекурсию (рекурсивный петух, молчать!). Какая неполнота )))
                              Ответить
                              • Можно в косвенную, но приходится ручками заставлять препроцессор препроцессить их несколько раз (вспомните «#define EVAL(...) EVAL1(EVAL1(EVAL1(__VA_ARGS__)))»), поэтому число повторений ограничено.
                                Ответить
                            • У нас нет ничего полного по Тьюрингу, потому что у нас нет бесконечной памяти.
                              Ответить
                  • показать все, что скрытоvanished
                    Ответить
            • почему время у OPTIONS запроса долгое в таком случае?
              Ответить
    • показать все, что скрытоvanished
      Ответить
    • Именно поэтому я за запуск браузера в виртуальной машине.
      Ответить
    • ФСБ следит открыто, посылая нахуй закон о неприкосновенности частной жизни - чего уж там до скана портов какой-то китайской захолустной компанией... Смиритесь.
      Ответить
    • показать все, что скрытоvanished
      Ответить
      • Какой багор )))
        Ответить
      • Именно. Проверяет вот эти порты:
        7070
        5985
        445
        22
        80
        443
        51
        8080
        3389
        5939
        5938
        5931
        5650
        6900
        5900
        Ответить
        • А если я на эти порты повешу сервер, который в ответ будет посылать текстовую строку: «Сосите хуй, пидоры!»?

          Кстати, некоторые интернет-провайдеры блокируют входящие в сторону клиента запросы на порты 22, 80, 8080, 443, порты NETBIOS/SMB и ещё какие-то, которые «могут причинить вред оборудованию клиента». Чтобы разблокировать, нужно подавать заявку на статический айпишник.

          Т. е. жопоскрипт из браузера на эти порты сможет достучаться, а внешний клиент из интернетов не сможет.
          Ответить

    Добавить комментарий