[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :)


From David MENTRE <dmentre at linux-france dot org>
Subject Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :)
Date Mon, 28 Apr 2008 14:06:54 +0200

Salut Thomas,

Thomas Petazzoni <thomas dot petazzoni at enix dot org> writes:

> Si j'ai bien compris le principe des syncookies, ils ne créent pas de
> charge CPU. Au lieu de créer une structure en mémoire pour mémoriser
> le fait qu'une connexion est en train d'être ouverte (et stocker
> quelques informations sur cette connexion), alors on ne fait rien en
> mémoire.

Moins que la charge CPU, c'est surtout l'absence de contexte côté
serveur évitant de manger de la mémoire pour rien qui est important.

Il faut un peu de CPU pour calculer le cookie (utilisation de mécanismes
cryptographiques forts) mais sur les machines de manintenant ça ne pose
pas de problème.

> On renvoie simplement dans un champ spécial du SYN-ACK ces
> quelques informations, que le client ouvrant la connexion nous
> retransmettra lors du ACK. En gros, si j'ai bien saisi, ça détourne un
> champ de l'entête TCP pour renvoyer les informations d'état au client
> de manière à ce qu'il les retransmette au ACK et qu'on n'ai donc pas
> besoin de les sauvegarder.

Exactement. Et ce mécanisme permet de négliger toutes les fausses
demandes d'ouverture de connexion de machines qui n'existent même pas
(envoi d'un paquet TCP SYN vers un serveur avec une fausse adresse
source par exemple). 

Amicalement,
d.
-- 
David Mentré <dmentre at linux-france dot org> -- http://gulliver.eu.org/