On 2019-08-25 16:40, slawek wrote:
> Czy ktoś może w prosty sposób wytłumaczyć, dlaczego - przy ponad 7
> miliardach ludzi na Ziemi
> - liczba portów wynosi tylko 65 tysi a do tego większość z nich
> jest zarezerwowana dla kolesi
> IANA/PTI - i to pomimo oczywiście oczywistego faktu iż nikt nad
> tym nie panuje (i nie musi).
>
> Przy IPv6 szczodrze dano ponad 10**38 adresów, czyli ponad 10**28
> na łebka, więcej niż liczba Avogadro,
> więc każdy atom obywatela może mieć własne.
>
> Przy portach jest po tolkienowsku shall not i kupa. Albo użyję np.
> portu 50000 (wolno, obszar niechroniony)
> i będę zastanawiał się co artysta chciał napisać w rfc o
> efemerydach... Albo użyję np. 666 i będę miał głęboko
> w [...] że IANA zarezerwowało ten numer dla gry Doom.
>
> Czyli po prostu ktoś przycwaniakował, żeby zrobić numerki portów
> dobrem rzadkim?
>
> Jaki problem jest w tym że na serwerze xyz port 80 to np. IRC?
>
>

Żaden!
Twój server, to 'se' nim zarządzaj.

--

do góry

On 2019-08-26 12:04, slawek wrote:
> Izaura <d...@d...net> Wrote in message:
>> [...]
>
> Jeżeli napiszę że you shall not czesać się z przedziałkiem, to
> słusznie będziesz mogła uznać
> że jest ze mną coś nie teges. Głowa twoja, nijak nie potrafię
> zmusić cię do, nie potrafię kontrolować itd.
> Jeżeli IANA pisze że numery portów shall not, to dlaczego mamy do
> tego się stosować, skoro serwery
> nasze, IANA nie potrafi zmusić (technicznie and/or prawnie),
> kontrolować (nikt chyba nie sprawdza,
> choć być może dałoby się analizować każdy pakiet) itd.?
>
> Ale może czegoś nie rozumiem? Może za każdym razem gdy otworzę
> port 666 to umiera jeden korposzczurek?
>
>

Jeszcze nikt nie umiera. Nostradamus pisał, że 'Nasz 'torrent'
mocniejszy i pokona 'torrent' wroga".
Jesli już o coś chodzi to przypisanie usługi do domyślnego portu.
Lepiej honeypot działa i łatwiej ukryć strategiczne usługi na prywatnych
portach.

--

do góry

On 2019-08-27 20:50, slawek wrote:
> Izaura <d...@d...net> Wrote in message:
>> Jesli już o coś chodzi to przypisanie usługi do domyślnego portu.
>
> Ale to ma sens tylko wtedy gdy pająk puka do wszystkich portów. Co
> łatwo zablokować. Kluczowe jest że nikt nie musi gwarantować że
> serwer się nie psuje. Więc psuje się zawsze gdy ktoś wchodzi np.
> na port 9 czymś innym niż ssh...
>
>
> Nikt normalny nie liczy na to że łącząc się bezmyślnie z sewerem
> którego nie zna zastanie tam jakiekolwiek usługi (nawet a
> zwłaszcza finger).
>
>
> Oczywiście, gdy ktoś zapodaje adres strony www to tam się czai 80.
> Ale jak nie zapodaje - to nie oznacza to nic.
>
>
> Negowanie takich faktów przez IANA dowodzi tylko przerostu
> biurokracji nad rozsądkiem.
>
> Złota zasada: nigdy nie tworzyć przepisów których nie da się
> egzekwować.
>
>> Lepiej honeypot działa i łatwiej ukryć strategiczne usługi na prywatnych
portach.--
>
>
> Ale jeszcze lepiej jakby numer portu był np. 64 bitowy, bo 2**64
> to trochę więcej niż 10**18. Co w zasadzie pozwala przydzielić po
> parę portów na łebka i jeszcze trochę zostanie.
>

Różne techniki są stosowane w celu penetracji, jak i w celu wykrywania
owych penetracji.


Nie chodzi o egzekwowanie, tylko, raczej o niesieni 'kaganka oswiaty'.


Ta, tylko skąd wziąć te fizyczne zasoby, w które należało by wyposażyc
najprostszy router?
Możliwe, że z powodu braku owych zasobów, Internet nie powstał by w ogóle.

--

do góry

slawek pisze:
> Izaura <d...@d...net> Wrote in message:
>> Ta, tylko skąd wziąć te fizyczne zasoby, w które należało by wyposażyc najprostszy
router?Możliwe, że z powodu braku owych zasobów, Internet nie powstał by w ogóle.--
[...]
> Jeszcze raz, bo może to gdzieś się zgubiło: jak dla mnie porty
> mogą być nawet 8 bitowe - ale jeżeli zostanie wykreślony
> obowiązek rejestracji - tzn. rozmaite Authorities przyznają
> otwarcie że wolność Tomku w swoim domku i numery portów nie są
> objęte regulacjami - każdy serwer ma prawo obsługiwać tak jak
> chcą jego właściciele. A stosowny RFC będzie oznaczony jako
> obsolete.
Z całym możliwym szacunkiem jaki mogę rozmówcy zaoferować
to nikt tego nie zabrania, te rzekome RFC to są zalecenia.
Szanowny "wolność Tomku w swoim domku", zawsze możesz skonfigurować:
port 1 dla SSH, port 2 dla SMTP, port 3 dla HTTP, itd.,
tylko potem nie miej zdziwienia, że posiadany serwer SMTP
nie odbiera żadnej poczty, a użytkownicy wpisujący w przeglądarkę
domena.org (lub jaką posiadasz) po dłuższym czasie
zobaczą komunikat o przekroczeniu czasu na połączenie.
Chyba nie oczekujesz, że przeglądarka zamieni się w nmap,
sprawdzi, które porty TCP są otwarte i wyśle żądanie HTTP
do wszystkich otwartych portów TCP, bo być może na którymś porcie
jest uruchomiony serwer WWW. Moim zdaniem właśnie w takim celu
powstały powyższe regulacje, aby w wiadomo było z jakim portem
nawiązać połączenie w przypadku gdy nie został on podany.

do góry