RE: Protecao contra spoof
Ola Giuliano,
Como vc ja deve ter notado eu nao conheço nada de debian ainda! :P
Mas pelo que eu vi em comentarios nos arquivos de inicialização ele
simplesmente checa o source do pacote! :)
Nesse caso os famosos DOS como (opentear, jolt2, ...) não iriam funcionar!
:)
Suponha que eu utilize a classe de rede C 192.168.0.0! Entao disparando um
ataque de opentear de uma maquina 192.168.0.1 contra o 192.168.0.2 (debian)
eu tenho o seguinte trafego:
10:29:48.553850 110.0.0.0.pop3 > Debian.hadrion.com.br.fsp: udp 0 (frag
56364:8@0+)
10:29:48.553928 20.0.0.0.20 > Debian.hadrion.com.br.12: udp 0 (frag
56367:8@0+)
10:29:48.554007 20.0.0.0.20 > Debian.hadrion.com.br.12: udp 0 (frag
56371:8@0+)
10:29:48.554085 20.0.0.0.20 > Debian.hadrion.com.br.12: udp 0 (frag
56374:8@0+)
10:29:48.554163 30.0.0.0.30 > Debian.hadrion.com.br.daytime: udp 0 (frag
56378:8@0+)
10:29:48.554240 30.0.0.0.30 > Debian.hadrion.com.br.daytime: udp 0 (frag
56381:8@0+)
10:29:48.554319 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag
56385:8@0+)
10:29:48.554398 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag
56388:8@0+)
10:29:48.554477 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag
56392:8@0+)
10:29:48.554553 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag
56395:8@0+)
10:29:48.558688 30.0.0.0.30 > Debian.hadrion.com.br.daytime: udp 0 (frag
56579:8@0+)
10:29:48.558844 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag
56586:8@0+)
10:29:48.559000 40.0.0.0.40 > Debian.hadrion.com.br.14: udp 0 (frag
56593:8@0+)
10:29:48.559079 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag
56597:8@0+)
10:29:48.559234 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag
56604:8@0+)
10:29:48.559469 60.0.0.0.60 > Debian.hadrion.com.br.16: udp 0 (frag
56614:8@0+)
10:29:48.559546 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag
56618:8@0+)
10:29:48.559624 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag
56621:8@0+)
10:29:48.559703 80.0.0.0.www > Debian.hadrion.com.br.msp: udp 0 (frag
56625:8@0+)
10:29:48.559859 80.0.0.0.www > Debian.hadrion.com.br.msp: udp 0 (frag
56631:8@0+)
10:29:48.559937 90.0.0.0.90 > Debian.hadrion.com.br.chargen: udp 0 (frag
56635:8@0+)
10:29:48.583333 50.0.0.0.re-mail-ck > Debian.hadrion.com.br.15: udp 0 (frag
57199:8@0+)
10:29:48.583491 60.0.0.0.60 > Debian.hadrion.com.br.16: udp 0 (frag
57206:8@0+)
10:29:48.583647 60.0.0.0.60 > Debian.hadrion.com.br.16: udp 0 (frag
57213:8@0+)
10:29:48.583726 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag
57216:8@0+)
10:29:48.583880 70.0.0.0.gopher > Debian.hadrion.com.br.17: udp 0 (frag
57223:8@0+)
10:29:48.583957 80.0.0.0.www > Debian.hadrion.com.br.msp: udp 0 (frag
57226:8@0+)
Note que a "ideia" do ataque eh uma especie de flood. Um excesso de pacotes
de varios distinos e serviços diferentes! Dessa forma o sistema tendo um
trafego muito grande a processar e um excesso possiveis conexões causando
indisponibilização do serviço!
Ele enviou varios pacotes para o debian de varios ips e classes diferentes
como:
80.0.0.0, 70.0.0.0, 100.0.0.0, 30.0.0.0 ...!
E para varios serviços distintos, como daytime, fsp, chargen ...!
Como ele tenta se proteger ? Checando os sorces. Caso o source nao exista na
rede ele simplesmente dropa o pacote! =]
t+
[ ]'s
Use Your Hadrion WebMail too!
Access: <A href=http://www.hadrion.com.br/>http://www.hadrion.com.br</A>
Doubts? <A href=mailto:wendel@hadrion.com.br>wendel@hadrion.com.br</A>
________________________________________________
This mail was sent by Hadrion WebMail 1.0
Reply to: