Шторм с лупбэка

koras

Guest

Это нравится:0 Да/0 Нет

04.12.2003 17:58:22

Напоролся сегодня на весьма неприятную ситуацию. Через кошку (бордюрную, в инет смотрящую) полились пакеты у которых src стоял 127.0.0.1 . С инета такого прийти не могло, ни через один транзитный роутер такое не проходило. Следовательно источник пакетов находился где-то совсем рядом в кошкой. Облазили окрестности кошки, ничего не нашли. Если кто сталкивался с подобным, просьба высказаться.

ЗЫ ip cef был выключен :-(

фанат Сообщений: 502 Баллов: 503 Регистрация: 15.08.2005	#2 Это нравится:0 Да/0 Нет 04.12.2003 18:59:16 пакеты не ICMP echo request случаем? =)

koras Guest	#3 Это нравится:0 Да/0 Нет 04.12.2003 19:03:57 x.x.x.x(0) -> y.y.y.y(0) Я аккаутингом смотрел. А что?

фанат Сообщений: 502 Баллов: 503 Регистрация: 15.08.2005	#4 Это нравится:0 Да/0 Нет 04.12.2003 19:17:44 оно?

koras Guest	#5 Это нравится:0 Да/0 Нет 04.12.2003 19:30:36 Похоже оно. Я пока тут пакеты смотрю, похоже прилетело от "соседей" через выделенку, а там адрессация локальная, так что подобных acl не повесишь Ладно, буду думать, пасибо

ksiva

Editor

Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003

Безопасность? Это просто!

Это нравится:0 Да/0 Нет

06.12.2003 12:06:29

да. интересная атака. Я так понял из документа, что надо на всех интерфейсах всех Cisco прописать
"no ip directed-broadcast", чтобы себя защитить.
Да еще надо чтобы свои пользователи эту атаку не использовали...
Единственное не пойму как эти строчки эту атаку запрещают:
access-list 101 permit ip 172.16.0.0 0.0.255.255 0.0.0.0 255.255.255.255
access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Они запрещают только пакеты с подмененным адресом, а если использовать свой адрес, то атака возможна... только DOS еще и в моей сети будет

Тоже буду думать

koras

Guest

Это нравится:0 Да/0 Нет

06.12.2003 12:10:58

>Единственное не пойму как эти строчки эту атаку запрещают:
access-list 101 permit ip 172.16.0.0 0.0.255.255 0.0.0.0 255.255.255.255
access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

Они запрещают общий случай.

>Они запрещают только пакеты с подмененным адресом, а если использовать свой адрес, то атака возможна... только DOS еще и в моей сети будет

Если штормовые пакеты вылят с инета, то разница скоростей инет-канал/локалка гасит внутри все штормовые эффекты. Вот если внутри зверек заведется, то тогда мои соболезнования... Я эксперименты со сламмером еще не забыл :-)

ksiva

Editor

Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003

Безопасность? Это просто!

Это нравится:0 Да/0 Нет

06.12.2003 12:25:12

"no ip directed broadcats" на всех кисковых интерфейсах похоже решает все проблемы. Плюс конечно у меня стоит Anti bogus ACL на входе и Anti-spoofing ACL на юзеров...

Только есть опасность порезать действительно нужные пакеты, но я никак не могу себе представить приложения которые используют directed-broadcast. Видеоконференции на multicast вроде работают.

Кто знает зачем нужен directed-broadcast, кроме DOS атак?

Гость Guest	#9 Это нравится:0 Да/0 Нет 06.12.2003 13:49:25 на память приходит bootp которому нужен directed-broadcast

koras Guest	#10 Это нравится:0 Да/0 Нет 09.01.2004 15:08:45 Вот чо было

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?