On 6/9/2011 11:19 AM, Pavel Gulchouck wrote:
Вот тут сформулировано мнение про вредность callout: http://www.backscatterer.org/?target=sendercallouts
О, я именно отсюда и взял это мнение, а ссылку потерял и не мог вспомнить :-)
Лично я с этим совершенно не согласен. В конце концов, резолвить IP отправителя или helo по этой логике тоже плохо: таким образом можно сделать DDoS на 53/udp. И слать icmp echoreply тоже - ведь тот, кто указан в src ip, мог и не слать этот запрос. Ну и отвечать на 25/tcp, собственно, тоже - мало ли, кто прислал этот tcp syn req от имени жертвы. :)
Мне кажется, что вопрос в задействуемых ресурсах. Одно дело - сделать echo reply (это лично дело IP stack, не затрагивает приложения и регулируется с помощью kind of CoPP) или ответить в соответствии с записью из статических таблиц DNS, а другое дело - сделать проверку на наличие абонента - хорошо, если он в /etc/passwd болтается, а если он где-нибудь в LDAP/MySQL, то DoS получается намного более жестким. IMHO, разумеется. -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ "Справа не в церкві і не в наркотиках. Справа у відповідальності та вдячності. Якщо в тебе це є, маєш шанс померти не останньою скотиною." (с) С.Жадан, "Ворошиловград"