A co se tyce nekym jinym zmineneho "bude utocit z jedne IP a tak to lze
limitovat poctem spojeni na IP" - hloupy utocnik mozna. Ale odeslani
odchoziho SYN paketu s libovolnou zdrojovou IP je velmi trivialni ukon.
Na druhou steranu je pravda, ze na male siti 256 adresami mame 32
spojeni na IP, coz je spis dostatecne a tak vhodne zvoleny limit pomoci
muze.
To ale znamena jen tolik, ze nenarazime na defaultni limit 8192 polozek
dynamickeho firewallu - utocnik se misto toho proste jen zameri na
vycerpani "per IP" limitu spojeni a sit zablokuje uplne stejne
spolehlive ...
ipspoof by mely zase resit jine prvky v siti. Podvrhnuti adresy je bud chyba
nastaveni nebo utok, takze by se s tim mela sit vyporadat zablokovanim daneho
portu na switchi nebo alespon blokovani mac adresy. Na default-gw by se takove
packety nemely uz vubec dostat.
Michal
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
