Lukasz Trabinski <l...@t...nospam.net> writes:

> Krzysiek, zapętliłeś się, ja na ten problem patrzę nieco ogólniej, niż
> samo wycinanie jednego portu na stacji end-usera.

Wiem wiem, Ty zawsze patrzysz na rozne rzeczy inaczej. Tu na szczescie
nie ma niebezpieczenstwa "near miss" z kostucha.

> OK, wytniesz port 25 na kompueterze usera, ale będzie on robił jeszcze
> wiele innych mało ciekawych rzeczy, bo nadal będzie kontrolowany przez kogoś z
> zewnątrz.

Ale blackholing jakichs serwerow np. IRC niczego tu nie zmieni.
Rozumiesz to? To nie jest skuteczne rozwiazanie, chociaz TPSA moze sie
nim pobawic jak nowa zabawka (kosztem np. klientow).

> OK, można wycinać dalej, kolejne porty, ale nadal ta maszyna
> rozmawia z kontrolerem. Słabo widzę wycinanie end-userowi możliwości
> wykonywania zapytań tcp-fin+ack na losowe porty i losowe adresy w internecie.
> Chyba rozumiesz, że uwalenie komunikacji z kontrolerem botnetu, jest wysoce
> lepszym pomysłem.

Oczywiscie, ale wylacznie takie, ktore jest >> skuteczne <<.

Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
komunikacje normalnego (niezarazonego) usera z normalnymi
(niezarazonymi itp) serwerami.

Rozumiesz? TPSA wprowadza takie rozwiazanie _wiedzac_, ze ono nie moze
byc skuteczne. Jaki to ma sens?

Jesli TPSA dysponuje odpowiednimi statystykami (przeciez blokuje te IP
wedlug algorytmu), to dlaczego nie moze zablokowac _zarazonych_
maszyn, mozna im wyswietlac takze odpowiednia strone WWW z informacja,
byloby to skuteczne z dowolnymi sposobami kontrolowania zombies, a
dodatkowo byloby to zgodne z prawem oraz z umowami z klientami.

Technicznie nie jest to dla nich zaden problem. Polityka to pewnie
inna sprawa, ale polityka problemow technicznych raczej nie rozwiaze.
--
Krzysztof Halasa