Hallo zusammen,
nachfolgend zwei fiktive Szenarien, die m.A.n. eine massive Täuschung der Traffic-Messung von Confixx & Co. zulassen (tatsächlicher Traffic wesentlich größer als gemessener Traffic). Beide verwenden unterschiedliche Ansätze, für keinen davon ist Shell-Zugang erforderlich.
Folgende fiktive Ausgangssituation 1:
- Maximale PHP-Skript-Laufzeit in /etc/php.ini sei hoch angesetzt
- User hat keinen Shell-Zugriff
- User installiert PHP-basierten Shell-Emulator (Aufwand: 2 min.)
- User verwendet Shell-Emulator, um wget auf große Dateien durchzuführen o.ä.
Erwartetes Ergebnis 1:
- wget verursacht erheblichen Traffic
- wget wird wegen hoher Skript-Laufzeit nicht abgebrochen (und könnte ggf. mit erneutem Aufruf auch einfach fortsetzen)
- Traffic wird (z.B. von Confixx) nicht erfasst, da nicht über (eingehendes!) HTTP gelaufen
- Traffic kann dem User evtl. nicht zugeordnet werden, da Default UID=wwwrun
Fiktive Ausgangssituation 2:
- Maximale PHP-Skript-Laufzeit in /etc/php.ini sei hoch angesetzt
- User hat keinen Shell-Zugriff
- User hat die Idee, Traffic (ähnlich FTP) zu "pushen"
- User schreibt PHP-Skript, das bei Aufruf einen Hostnamen und eine Portnummer annimmt, dorthin eine TCP/IP-Connection aufbaut und Daten sendet
Erwartetes Ergebnis 2:
- Gemessener Skript-Traffic ist sehr niedrig, weil lediglich der Request mit Hostnamen und Port vom HTTPD gezählt werden
- Tatsächlicher Skript-Traffic über die ne aufgebaute Connection ist erheblich
- Tatsächlicher Traffic kann nicht zugeordnet werden
Bitte um Kommentare + Lösungsvorschläge, den entstandenen Traffic dennoch richtig zuzuordnen.
Daniel
Täuschung von Traffic-Messungen durch (PHP- u.a.) Skripte
-
..::rxr::..
- Posts: 24
- Joined: 2004-03-07 11:57
Re: Täuschung von Traffic-Messungen durch (PHP- u.a.) Skripte
suPHP
so long...
Markus
so long...
Markus
Re: Täuschung von Traffic-Messungen durch (PHP- u.a.) Skripte
Na, und dann? Ich vermute mal, die Antwort bezieht sich auf Szenario 1. suPHP ist installiert. Damit läuft wget dann halt unter einer anderen UID. Damit allein ist nicht geholfen, der Traffic wird trotzdem verbrutzelt, aber nicht gemessen, und für Szenario 2 hilft das leider auch nicht...
Re: Täuschung von Traffic-Messungen durch (PHP- u.a.) Skripte
Eine mögliche Abhilfe bestände vielleicht darin, ausgehenden Traffic auf Firewall-Ebene nur noch über einen Proxy zuzulassen, der Authentisierung verlangt. Dadurch wäre der wget-Missbrauch unterbunden.
Probleme dabei:
- wie sollen root & Co. dann noch ausgehende SSH-Sitzungen, nslookup o.ä. von der Kiste aus durchführen?
- müsste dafür nicht eine zusätzliche IP (ggf. 2. Loopback-Device???) her, auf dem der Proxy dann läuft und dem stattdessen die ausgehenden Verbindungen erlaubt werden?
Mann, ist das kompliziert :?
Probleme dabei:
- wie sollen root & Co. dann noch ausgehende SSH-Sitzungen, nslookup o.ä. von der Kiste aus durchführen?
- müsste dafür nicht eine zusätzliche IP (ggf. 2. Loopback-Device???) her, auf dem der Proxy dann läuft und dem stattdessen die ausgehenden Verbindungen erlaubt werden?
Mann, ist das kompliziert :?