ICMP flood detect & deny

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Úterý Květen 23 20:45:08 CEST 2000


On 23 May 2000 uhlar na fantomas.sk wrote:

> Nie, smurfing je nieco uplne ine... z vasej linky poslete pakety so
> spoofnutou adresou (stroja ktory chcete zahltit) na broadcast nejakej siete
> kde na to odpoveda viac masin (aj take siete este su, u nas je to
> zablokovane), tie odpovedia uz spominanej masine. ak najdete dobru siet,
> mozete z dialup (3kb/s) zahaltit celkom slusnu linku (500 masin = 1500 kB/s)

Nikde neni napsano, ze prostrednik nemuze byt zaroven obeti:
at uz neprimo z toho duvodu, ze vygeneruje tolik provozu, ze si zahlti
vlastni sit (resp. vlastni linku ven), nebo primo z toho duvodu, ze
spoofnuta odesilaci adresa je jeho vlastni (pokud mozno jeho vlastni
broadcast...na takove veci by nikdo nemel odpovidat a navic by to kazdy
rozumny clovek mel odfiltrovat na hranicich, ale zname, jak to chodi...).

> chyba je na strane asej siete kde router dovoli odist paketom s jasne
> smurfnutou adresou (v linuxe sa to vypina 

Asi spoofnutou adresou. Jo, egress filtering by meli delat vsichni. Ale
zname, jak to chodi... :)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux