[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2001 ml@sikurezza.org Soggetto: Re: Smurf, la piaga della rete? Mittente: Fabio Pietrosanti (naif) Data: 12 Jul 2001 23:25:41 -0000
On Thu, Jul 12, 2001 at 08:37:55AM +0200, Federico wrote: > > I metodi sono sufficienti per attacchi fino ad una certa dimensione > > e la difesa è tramite regole di antispoofing sui router e come dici > > ICMP echo deny. > > Sicuramente, anche se come già detto ci fai ben poco :-) > Secondo me un potrezione valida dovrebbe essere implementata nei nodi "core" > che i pacchetti attraversano per arrivare alla vittima. A tal fine, molte societa' implementano sui router di backbone le cosidette "turbo acess-list", delle access-list che vengono "compilate" nell'IOS, e che permettono l'implementazione di "anti spoofing" anche su router su cui passa una mole di traffico tale, che non reggerebbero 1 sola riga di access-list messa con i metodi tradizionali. [snip] > > Al max puoi arrivare alle macchine che stanno rispondendo ad un > > broadcast, ma il ping di partenza è spoofato..... > > Bha per me sono tutte congetture, data la probabilità con la quale puoi > risalire all'attacco....meglio lasciar perdere. Proprio a tal fine si sta studiando la possibilita' dell'implementazione di un sistema per fare il trace dei pacchetti dal nome di "Icmp Trackback"... http://www.ietf.org/html.charters/itrace-charter.html Intanto seguiamo i consigli di cisco su come prevenire i DOS all'url: http://tref.sunet.se/kokbok/tips/tracing-abuse.cisco.html > piuttosto sarebbe consigliabile (nella mia mente perversa) di creare una > sorta di "contrattacco" verso la net che ci pacchetta, ma è una soluzione > controproducente ed è dipendente dalla banda a nostra disposizione. Non esageriamo, l'unica soluzione e' contattare il proprio carrier, sperando di avere un contratto di reperibilita' se accade di notte, e dirgli di mettere sul router in casa loro, su cui termina il vostro link, una access-list per fare "rate-limiting" sui pacchetti icmp echo/echo-reply, dato che i sorgenti da cui provengono gli attacchi potrebbero essere migliaia e da centinaia di reti diverse, per cui firewallarli risulterebbe impossibile. Se avete una 2MBit e vi stanno floddando, chiamate il vostro telco e anche se trovate il solito fessacchiotto dell'helpdesk gli dite di mettere sull'interfaccia da cui parte il link verso di voi un filtro per gli icmp, limitandoli a 30k/s : access-list 150 permit icmp any any echo access-list 150 permit icmp any any echo-reply rate-limit input access-group 150 25000 27500 30000 conform-action transmit exceed-action drop -- Fabio Pietrosanti ( naif ) E-mail: naif@sikurezza.org - naif@blackhats.it PGP Key (DSS) http://naif.itapac.net/naif.asc -- Free advertising: www.openbsd.org Multiplatform Ultra-secure OS Free Flame: IPFilter sucks ! ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005