Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Dos-атака(ICMP)
 
Всем привет! вчера сканировал сеть с помощью Xpider. на нескольких хостах обнаружена уязвимость:Обнаружена уязвимость в реализации TCP/IP стека связанная с обработкой ICMP сообщений. Удаленный пользователь может послать специально сформированные ICMP сообщения, что может привести к сбросу всех активных TCP соединений, а так же в некоторых случаях к потреблению большого количества системных ресурсов и в результате к отказу в обслуживании (DoS-атака). Уязвимость присутствует в алгоритме обработки ICMP сообщений "Source Quench" и "Destination Unreachable". Данной уязвимости подвержены многие сетевые OS и многочисленное сетевое оборудование от различных производителей. Подскажите,пожалуйста,как закрыть данную уязвимость?
 
Возможно, речь об этой древней уязвимости:
1. http://www.juniper.net/security/auto/vulnerabilities/vuln13124.html
2. http://www.iss.net/security_center/reference/vuln/tcp-ip-source-quench-dos.htm
2005-й год, однако. Как закрыть? Очевидно, установить обновления на ОС того хоста, который Вы сканируете.
 
Ну и для тех, кто не дружит с английским( а сейчас, судя по всему - это повальная болезнь). Популярное изложение от Коли Малых - http://www.protocols.ru/modules.php?name=News&file=article&sid=13
 
Спасибо конечно. Но хотелось бы конкретики. машина работает под МСВС 3.0. может кто нибудь изложить конкретные практические действия(настройка правил фильтрации iptables и др.)?
 
Ну вон же выше расписаны типы ICMP, которые используются при этой атаке. Вот их по типу и блокируете иптаблесами. Не приведет ли это к неработоспособности какого-то софта - понятия не имею. А у доблестного поделия от Министерства Обороны все настолько грустно, что дыры аж 2005 года в коде сетевого стека присутствуют??? И ядрышко, небось, еще 2.4, да?  :o  Вот он - наглядны пример фразы профессора Преображенского про "разруху". Слава Богу, что они наконец-то на iptables перевели систему. А то могли бы и на ipchains остаться
 
Пробовал следующее:
Дропал ICMP-пакеты 3 и 4 типа в цепочках INPUT OUTPUT и FORWARD
результат без изменений.
т.е. если уязвимость на опр-ом хосте, то я должен заблокировать проход ICMP пакетов 3 и 4 типа именно на этом хосте?
и как это все сохранить?


Вообще с iptables я на Вы(  
 
-iptables --protocol icmp --help предлагает следующий синтаксис -  --icmp-type type[/code]     (or numeric type or type/code). Смотрим вот сюда - http://www.opennet.ru/docs/RUS/iptables/#ICMPTYPES Видим, что ICMP "Source quench" имеет тип 4. С "Destination Unreachable" сложнее. Там тип 3, а код 1 (ибо у типа 3 много кодов).
Получаем вот такие варианты:
iptables -I INPUT -p icmp --icmp-type 4 -j DROP
iptables -I INPUT -p icmp --icmp-type 3/1 -j DROP
Или по именам:
iptables -I INPUT -p icmp --icmp-type source-quench -j DROP
iptables -I INPUT -p icmp --icmp-type host-unreachable -j DROP
Про то, как в МСВС сохранить - не знаю, это Редхат - надо копаться в /etc/sysconfig и в /etc/init.d/iptables ключи смотреть у стартового скрипта. В Gentoo - /etc/init.d/iptables save. :)
Есть вариант iptables-save > /var/lib/iptables/iptables.save, после перезагрузки - iptables-restore < /var/lib/iptables/iptables.save
 
Спасибо большое,завтра попробую.
 
Цитата
Saneggg пишет:
Вообще с iptables я на Вы(
Я там выше ссылку привел на руководство. Повторю - http://www.opennet.ru/docs/RUS/iptables/ Читайте. По крайне мере - научитесь понимать когда и в какие цепочки (INPUT, OUTPUT, FORWARD) попадает пакет при его прохождении. Тут и схемка есть - http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGGENERAL
 
Сделал сегодня то, что вы посоветовали. При повторное сканировании выдало эту же ошибку. При вводе команды iptables - L эти правила отображаются. Может необходимо сделать что-то еще?
 
Давайте я еще раз повторю то, что было раньше сказано.
Цитата
SOLDIER пишет:
Как закрыть? Очевидно, установить обновления на ОС того хоста, который Вы сканируете.
И еще раз отмечу, что это уязвимость 2005 (!!!!) года.
 
Если бы можно было установить обновления, то я бы так и сделал.
Страницы: 1
Читают тему