Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1
RSS
Мегаброадкасты
 
#1
Это нравится:0Да/0Нет
07.10.2003 19:23:39
Как может пакет с дст_аддр 255.255.255.255 дойти ко мне в Питер аж из канады, через 20 роутеров? Или я чего-то не понимаю, или такие пакеты вообще не должны роутиться по RFC1122? И это далеко не единственный случай.

;--------
;NK
 
 
 
#2
Это нравится:0Да/0Нет
07.10.2003 19:34:49
не должны, и не из рфц, а из здравого смысла.

ты абсолютно уверен, что этот пакет не сделал кто-то из твоей же локалки?
 
 
 
#3
Это нравится:0Да/0Нет
07.10.2003 19:38:39
А как ты определил, что они прошли через 20 роутеров???
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#4
Это нравится:0Да/0Нет
07.10.2003 19:42:10
Протрейсил срц_аддр

;---------
;NK
 
 
 
#5
Это нравится:0Да/0Нет
07.10.2003 19:57:09
допустим, у тебя в локалке сидит злой хэкер, который воткнул ноутбук, и прописал ему этот адрес (какой, кстати?). а ты размышляйнингом о 20 роутерах занимаешься :)
 
 
 
#6
Это нравится:0Да/0Нет
07.10.2003 20:46:03
Это не в локалке. Это на внешнем интерфейсе роутера. Можно конечно предположить, что "злой хэкер" врезался в оптоволокно и посылает мне бессмысленные пакеты. Но на куя? Скорее я поверю в 20 несконфигуренных роутеров у 3-х - 4-х провайдеров, чем в идиота который имеет такое оборудование и использует его таким образом :)

;------
;NK
 
 
 
#7
Это нравится:0Да/0Нет
07.10.2003 21:16:09
Цитата
__NK пишет:
Это не в локалке. Это на внешнем интерфейсе роутера. Можно конечно предположить, что "злой хэкер" врезался в оптоволокно и посылает мне бессмысленные пакеты. Но на куя? Скорее я поверю в 20 несконфигуренных роутеров у 3-х - 4-х провайдеров, чем в идиота который имеет такое оборудование и использует его таким образом :)

;------
;NK

а ты можешь быть дефолтроутом у этих провайдеров? если да - какое-то объяснение еще проглядывается, если же нет - хз-хз
 
 
 
#8
Это нравится:0Да/0Нет
07.10.2003 21:42:40
>а ты можешь быть дефолтроутом у этих провайдеров

Как это - быть дефолтроутом у этих провайдеров? Какие там default routes, там это понятие немножко теряет смысл. Поясни.
Вообще, в принципе, единственный случай когда роутер форвардит пакеты с дст_аддр=0xffffffff который приходит мне в голову, это bootp/dhcp relaying. Но там были не только bootp. Там тебе и ICMP ping, и TCP_SYN . Зачем это форвардить? Есть тут кошковеды знатные на форуме? может они посмотрят маны и поправят меня?

;------
;NK
 
 
 
#9
Это нравится:0Да/0Нет
07.10.2003 21:50:18
Ситуация непонятная, ты можешь отследить эти пакеты средствами кошки?, лучше netflow

Попробуй АЦЛями блокировать такие пакеты на входе и посмотри, прекратятся они или нет? Все же думаю в локалке кто-то балуется или пров у вас совсем уж рас..дяйский :-)
 
 
 
#10
Это нравится:0Да/0Нет
07.10.2003 22:15:10
> Как это - быть дефолтроутом у этих провайдеров? Какие там default routes, там это понятие немножко теряет смысл. Поясни.

есть у маршрутизатора эн дырок. если все пакеты, которые непонятно на какую дырку надо слать, идут на дырку номер эм, то эм - это дефолтроут у этого маршрутизатора :) а уж стоит он у провайдера или еще где - вроде бы как не важно.

может ли быть такое, что дырка номер эм ведет именно к тебе?
 
 
 
#11
Это нравится:0Да/0Нет
07.10.2003 22:54:07
Цитата
__NK пишет:
Как может пакет с дст_аддр 255.255.255.255 дойти ко мне в Питер аж из канады, через 20 роутеров? Или я чего-то не понимаю, или такие пакеты вообще не должны роутиться по RFC1122? И это далеко не единственный случай.

;--------
;NK

"Канадец" порождает пакеты с dst_addr=<subnet_directed_broadcast_сетки_между_тобой_и_твои­м_провайдером>, все промежуточные раутеры этот пакет форвардят, ибо не считают его броадкастом. Раутер провайдера видит, что это subnet_directed_broadcast на одну из его connected подсетей, преобразует его в limited_broadcast ( такое поведение предписано RFC ) и отдает его тебе.
Подробности в rfc1812.
 
 
 
#12
Это нравится:0Да/0Нет
07.10.2003 23:20:28
Цитата
moonspell пишет:

"Канадец" порождает пакеты с dst_addr=<subnet_directed_broadcast_сетки_между_тобой_и_твои­м_провайдером>, все промежуточные раутеры этот пакет форвардят, ибо не считают его броадкастом. Раутер провайдера видит, что это subnet_directed_broadcast на одну из его connected подсетей, преобразует его в limited_broadcast ( такое поведение предписано RFC ) и отдает его тебе.
Подробности в rfc1812.
так а что делать чтоб такого не было?
спасет ли:
no ip directed-broadcast?
 
 
 
#13
Это нравится:0Да/0Нет
07.10.2003 23:38:38
Цитата
Inck-Vizitor пишет:
Цитата
moonspell пишет:

"Канадец" порождает пакеты с dst_addr=<subnet_directed_broadcast_сетки_между_тобой_и_твои­м_провайдером>, все промежуточные раутеры этот пакет форвардят, ибо не считают его броадкастом. Раутер провайдера видит, что это subnet_directed_broadcast на одну из его connected подсетей, преобразует его в limited_broadcast ( такое поведение предписано RFC ) и отдает его тебе.
Подробности в rfc1812.
так а что делать чтоб такого не было?
спасет ли:
no ip directed-broadcast?
Должно помочь, думаю. Только это нужно на раутерах провайдера конфигурить.
 
 
 
#14
Это нравится:0Да/0Нет
08.10.2003 14:13:21
Цитата
moonspell пишет:

"Канадец" порождает пакеты с dst_addr=<subnet_directed_broadcast_сетки_между_тобой_и_твои­м_провайдером>, все промежуточные раутеры этот пакет форвардят, ибо не считают его броадкастом. Раутер провайдера видит, что это subnet_directed_broadcast на одну из его connected подсетей, преобразует его в limited_broadcast ( такое поведение предписано RFC ) и отдает его тебе.
Подробности в rfc1812.
Гениально! Проверил - все действительно так. Сенкс за разъяснение. Дело в том что это подключение (где я ловлю эти пакеты) маленькое, с 2-хадресной подсеткой. xxx.xxx.xxx.129 - роутер прова, 130 - мой роутер+НАТ, 131 - соответственно получается <subnet_directed_broadcast_сетки_между_тобой_и_твоим_провайд­ером> .

;-------
;NK
 
 
 
Страницы: 1
Читают тему