а я бы выразился сильнее. тот кто не использует PMTU discovery и препятствует другим его использовать (путем фильтрации ICMP param.problem) - полный [censored].
Онанимус пишет: а я бы выразился сильнее. тот кто не использует PMTU discovery и препятствует другим его использовать (путем фильтрации ICMP param.problem) - полный [censored].
я конечно понимаю что при блокировании mtu disc. ошибки фрагментации больших пакетов не дойдут до их источника, и он никогда об ошибках не узнает и будет дальше тупо отправлять все новые и новые пакеты, окторые на самом деле будут просто "прибиты" (например на моем маршруте). НО! это может делаться специально и использоваться для атаки. и так как требуется отдельный адрес для каждого маршрутизатора, как быть с локальными пространствами (10.0.0.0,192.168.0.0,172.16...)? ведь и будут отправляться пакеты icmp используя такие адреса, что сильно нагрузит сетевое окружение. и не в каждой системе может быть изменена фильтрация этого типа данных.
в 90-х годах начали активно вводить mtu-d, и сейчас почти все используют его... все поотключали фрагментирование и теперь только и ждут повышения производительности. это конечно вопрос спорный, но уж больше проблем с этим mtu... и теперь все чаще ДоС на его основе...
единственно с чем я согласен - так это с правильной настройкой мту для определенного канала.
например, если ты не выходишь за пределы своей поганой локалки на 10 компов, и не пользуешься чужими каналами с левым оборудованием на уровне 2.
ну тогда извини! просто пользуются моими линиями, а не я чьими-то! (пиринг и фрейминг оговаривается отдельно) а насчет примитивных сред должен тебя огорчить, сеть слишком большая чтобы подстраиваться под внешних пользователей.
Вообще-то можно резать не все ICMP-пакеты, а только выборочно (если уж так руки чешутся). Во-вторых запрет ICMP ни как не мешает проводить атаки по другим протоколам с использованием локальных пространств. Если не понятно как работает PMTUD то чтаем тут.
Фильтрация ICMP - есть полнейший бред с точки зрения безопасности и это есть нарушение стандартов, что есть криворукость со всеми вытекающими... Сейчас, когда начинает стремительно расти популярность PPPoE можно получить массу проблем со связью с такими серверами.
во-первых, никто здесь не считает что главная защита системы - это запрет icmp (что может понять человек все же прочитавший этот топик). и естественно что никто не забыл о других протоколах. если вкратце рассказать что здесь обсуждается - так это работа других протоколов (в частности tcp/ip) при поддержке icmp.
во-вторых, все виды атак являются большим нарушением стандартов чем разрешение только нужных для работы типов пакетов протокола.
в третих, кроме Point-to-Point Protocol over Ethernet есть еще столько разных проектов... и способов обьединения оборудования в сети. я не против pppoe, я просто говорю что никто не будет на него равняться.
> Point-to-Point Protocol over Ethernet есть еще столько > разных проектов... и способов обьединения оборудования > в сети
я именно об этом и писал !
> никто не будет на него равняться
говори за себя.
лично мне один раз проезжали по мозгам насчет PMTU discovery и его связи с ICMP лет 5 назад, и я двум "провайдерам" вправлял мозги года 2 назад - вполне успешно.
гг. GetFind и ksiva, когда с вами будут совершать подобную операцию по вправке мозгов - не говорите что вас не предупреждали
GetFind пишет: но уж больше проблем с этим mtu... и теперь все чаще ДоС на его основе...
единственно с чем я согласен - так это с правильной настройкой мту для определенного канала.
Следуя твоей логике, надо всю автоматику повыключать. Только руками! На кой хрен нам сдались протоколы динамической маршрутизации? Даешь все роуты статикой!
Гость пишет: Следуя твоей логике, надо всю автоматику повыключать. Только руками! На кой хрен нам сдались протоколы динамической маршрутизации? Даешь все роуты статикой!
Уязвимости не в реализациях а в проектировании протокола. Поэтому и RFC выходит. Обрезая функции мы нарушаем RFC и это может сказаться на работе. Помниться техподдержка одного производителя кприптошлюза на букву К, в ответ на сообщение, что их шлюз работает как blackhole на pmtud (или вообще на фрагментацию) говорил - это в FreeBSD и Windows стек TCP кривой ) Ну-ну. Если у тебя за спиной только своя сеть - проблем особых нет. MTU можно и занизить например на граничном шлюзе или клиентах (но лучше на граничном). А вот если ты транзитник....