Sławek Lipowski <s...@l...org> writes:

>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>
> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
> wielkości większymi, ale nie w tym rzecz...

Sam widzisz, zrobienie na tym DDoSu to pestka.

> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.

Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
moze ominac regulki IPv4.

> Naturalne
> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
> ssh, niż ten san system bez wystawionego ssh.

Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
podstawowe i wlasciwie jedyne zastosowanie)
b) wystawienie ssh jest czesto niezbedne.

> Zakładam też, że lepiej
> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
> przeskoczy.

Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.

Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
takze powinien odfiltrowac.

> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
> haseł. :)

Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.

> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
> publicznym IP i nosić je w kieszeni.

Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
nie bedzie w stanie uzyskac "mojego" IP.

BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?
--
Krzysztof Halasa