Duplicitni pakety
Martin Macok
macok na kocour.ms.mff.cuni.cz
Neděle Červen 20 23:33:18 CEST 1999
On Sun, 20 Jun 1999, Dusan Sys wrote:
> Zdravim,
> Tento nas server funguje jako brana do inetu. Pokud dam ping primo z tohoto serveru na jine stroje v nasi siti, tak je vse ok, ale pokud hodim ping s jine masiny nekam do internetu tak, ze data jen prochazi pres server hned mam na krku duplikaty. Primo ze serveru ( z brany ) je vse OK. Jsem z toho uplne vedle ....
>
> >Mate nakonfigurovanou "broadcastovou odpoved" na ICMP ECHO (a nejspise i na jine 'veci') na vasi siti. Vase sit >figuruje jako tzv. broadcast "amplifier" a lze zneuzivat cizimi lidmi k floodovani jinych pocitacu/siti. Jedna se o >spatne nakonfigurovanou sit.
>
> A jak dal........ jine jadro ???
>
> Zdravi Dusan Sys
OK, abych rekl pravdu, routerum moc nerozumim a neporadim vam presne
kucharku, jak a co mate nastavit, nicmene jadrem by to byt nemelo, proste
je jen spatne nakonfigurovan firewall/router ...
Jde o to, ze pokud ja poslu ping dovnitr vasi site, vrati se mi 4 odpovedi
- muzu tedy zfalsovat odesilatele mych paketu a pokud vyuziji vetsiho
mnozstvi siti jako je ta vase, mohu tyto odpovedi nasobit napriklad
100-200x - pokud to pronasobite pomerne slusnou propustnosti pevne linky u
me a nizsi propustnosti napriklad modemovych pripojeni ... muzu tim hodne
lidem zablokovat pripojeni (tento utok se nazyva smurf).
Vam tim v podstate zadne extra nebezpeci nehrozi, 4-nasobek je jeste
pomerne OK, ale je to zbytecne zatizeni site navic. Existuje i podobna
verze utoku pomoci UDP (fraggle).
RFC 1812,
"Requirements for IP Version 4 Routers", Section 5.3.5, specifies:
---
A router MAY have an option to disable receiving network-prefix-
directed broadcasts on an interface and MUST have an option to
disable forwarding network-prefix-directed broadcasts. These options
MUST default to permit receiving and forwarding network-prefix-
directed broadcasts.
---
Generally, with IP providers and IP applications as we know them today,
this behavior should not be needed, and it is recommended that
directed-broadcasts be turned off, to suppress the effects of this
attack..
Podrobnejsi popis a rady:
URL: http://users.quadrunner.com/chuegen/smurf.cgi
P.S. Pokud si prectete tuto ^^^ stranku, budete jiste o mnoho chytrejsi
nez ja, ja jsem jenom BFU, ktery toto "umi" (neni nic lehciho) zneuzivat
... ;-)
P.S.2 Poznamka pro administratory moji site:
umi zneuzivat != zneuziva
--
-===========================<ISO-8859-2-compatible>=-
| Martin Mačok |
| email: martin.macok na st.mff.cuni.cz |
| WWW: http://kocour.ms.mff.cuni.cz/~macok/ |
-===================================================-
... but Microsoft is today and Linux is tomorrow ...
Další informace o konferenci Linux