[FUGSPBR] Ainda sobre filtrar ICMP ...
Ronan Lucio
ronan em melim.com.br
Sex Nov 23 16:33:13 BRST 2001
Marcio,
A resposta para essa pergunta está inserida no contexto
do meu e-mail anterior.
Se a sua máquina for negociar alguma conexão que esteja
congestionada, ela pode ter um comportamento estranho:
Por exemplo: Quando o host congestionar, ele vai enviar
pacotes icmp identificado que este está sobrecarregado, e
o outro host vai poder entender o que está acontecendo,
do contrário, provavelmente ele vai continuar enviando pacotes
continuamente e acabar dando timeout por não ter entendido
o motivo da demora na resposta.
[]´s
Ronan Lucio
Melim Internet Provider
> Bem, ja que tocaram nesse assunto, gostaria de tirar uma duvida...
>
> Existe um servidor HP-UX que eu pingo de qualquer estacao Ruindows
> (microsoft), e dah "Source Quench", mas de qualquer outro *UNix o ping
> acontece normalmente... Essa mensagem acarreta em alguma perda de dados
numa
> transmissao ?! O HP-UX tras isso como default ?? Gostaria de mais
> informacoes sobre essa resposta de ping.
>
>
> Abracos...
>
> Marcio
>
>
> ----- Original Message -----
> From: "Ricardo Bueno da Silva" <rbueno em ccuec.unicamp.br>
> To: <fugspbr em fugspbr.org>
> Sent: Friday, November 23, 2001 2:08 PM
> Subject: [FUGSPBR] Ainda sobre filtrar ICMP ...
>
>
> > Pessoall,
> >
> > estava acompanhando na lista o assunto sobre filtrar ICMP.
> >
> > Sei que isso nao e' diretamente relacionado ao FreeBSD, mas vale
> > para qualquer SO e equipamento.
> >
> > Coincidentemente uma discussao parecida esta rolando na lista do
> > GTER-CG. Apos acompanhar as duas discussoes e ler um documento do
> > SNAC/NSA (System and Network Attack Center/National Security Agency)
> > e a RFC 1122, acredito que uma dica pode ser util:
> >
> > Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
> > filtro. Bloqueando "Parameter Problem" e "Source Quench", por
> > exemplo, voce estara perdendo informacoes importantes sobre
> > a conexao, o que pode acarretar num mal aproveitamento dos
> > recursos da sua rede.
> >
> >
> > O documento do SNAC da dicas legais do que bloquear:
> >
> > Trafego ICMP Inbound:
> > liberar Echo Reply (tipo 0)
> > Destination Unreachable (tipo 3)
> > Source Quench (tipo 4)
> > Time Exceeded (tipo 11)
> > Parameter Problem (tipo 12)
> > bloquear demais tipos de ICMP
> >
> > Trafego ICMP Outbound:
> > liberar Echo Reply (tipo 0)
> > Source Quench (tipo 4)
> > Echo Request (tipo 8)
> > Parameter Problem (tipo 12)
> >
> > Existe uma divisao de opinioes quanto a liberar o "Echo Request" (tipo
8)
> > no trafego inbound. Segundo a RFC 1122, todo host conectado a Internet
> > deve implementar ECHO REQUEST/ECHO REPLY. Isso nos leva a
interpretacoes:
> > "deve implementar mas nao significa que tenho que liberar... ou
> > se deve implementar entao tem que usar...". E' complicado...
> >
> > Existem alguns ataques de DOS que se aproveitam da possibilidade
> > de utilizar o Echo Resquest. Mas, na minha opiniao, se seu SO pode
tratar
> > isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz
com
> > o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.
> >
> > Fora essa falta de entendimento com relacao ao ECHO REQUEST , as demais
> > dicas dadas podem ser bem-vindas a muitos.
> >
> > Espero ter colaborado.
> >
> > Abracos,
> > Ricardo Bueno
> >
> > --
> > _______________________________________________________________________
> > Ricardo Bueno da Silva e-mail: rbueno em ccuec.unicamp.br
> > Centro de Computacao - CCUEC Fone: (0xx19) 3788-2200
> > Universidade Estadual de Campinas - UNICAMP Fax: (0xx19) 3289-2577
> >
> > ----
> > Para sair da lista envie um e-mail para majordomo em fugspbr.org
> > com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
>
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd