Bc. Radek Krejca napsal/wrote, On 04/08/07 13:43:
> mozna bude moje otazka naivni, nicmene nevim si s tim rady. Mam
> problem, ze pokud mam FBSD jako router, tak kdyz nastavim ip rozsah
> pres ipconfig, tak je u nej i broadcastova adresa, coz je samozrejme
> normalni, nicmene pokud nekdo v siti posle na bcadresu treba ping,
> tak se vygeneruje na siti sileny traffic a sit jde na nekolik
> desitek vterin do kytek. Kadzdy switch, kazde ap na toto odpovida.
To uz ale normalni neni. Tedy, pokud jsou vsechny komponenty spravne
nakonfigurovany. Na ping prijaty na broadcastove adrese site se
neodpovida a nemelo by tak cinit zadne zarizeni.
Tento typ utoku je znamy nekdy od roku 1998 a ve FreeBSD byla prijata
prislusna opatreni nekde okolo verze 2.2
Pravda, pomoci sysctl net.inet.icmp.bmcastecho lze zpusobit, ze router
zacne n abroadcastove adresy odpovidat, ale defaultni hodnota je "NE".
Opravdu je vse spravne nakonfigurovane ?
> Zvlastni je, ze pokud je tento utok/ping na stroj, na kterem je
> OpenBSD, tak tento problem nenastane.
Tak to mi neco unika - jak muze operacni system routeru ovlivnt to,
jestli nejake AP odpovi nebo neodpovi na obdrzeny ping adresovany na
broadcast ?
> Broadcastove adresy dat do FW nemuzu, protoze je jich nekolik tisic, v
> podstate kazdy uzivatel ma svuj minirozsah /30.
A jsem jeste zmatenejsi. Kazda tato sit ma svoji broadcastovou adresu.
I kdyby nekdo poslal ping na tuto (jednu) adresu, tak to pro ostatni
site zadny broadcast neni.
Takze bych ocenil sktuecne trochu konkretnejsi informace o konfiguraci.
A na kterou z tech tisicu broadcastovych adres ten ping prijde. Pripadne
odkud.
> Domnivam se, ze se jedna o smurf, ovsem jak se mu mohu nejak
> efektivne branit?
Za normalnich okolnosti mu od roku 1998 dostatecne brani defaultni
konfigurace.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
