[FUGSPBR] Ataques
Vinicius Moreira Mello
vinicius em lineone.net
Sex Set 28 00:55:20 BRT 2001
Ronan Lucio wrote:
> 1. No meu freebsd-4.3 só aparece a mensagem
> Limiting closed port RST response from 1800 to 200 packets per second.
>
> Alguém sabe qual é a opção que tenho que setar para ele me mostrar o IP?
Acredito que o kernel apenas esteja controlando a emissao de pacotes TCP/IP com
a flag RST no pacote. Essa flag indica para fechar uma conexao TCP existente.
Pode ser que a conexao de muitos clientes esteja expirando ou que algum daemon
tenha reiniciado ou terminado e teria notificado os clientes disso. Veja no
LINT:
# TCP_RESTRICT_RST adds support for blocking the emission of TCP RST packets.
# This is useful on systems which are exposed to SYN floods (e.g. IRC servers)
# or any system which one does not want to be easily portscannable.
O kernel faz isso pra despistar alguma ferramenta de portscan ou para nao gerar
mais flood ainda respondendo a ataques de SYN flood, mas acredito que nao seja
isto que esteja acontecendo.
> 2. As minha máquinas estão com FreeBSD-4.3 e o roteador (Cisco) ja ta com
> a opção no-ip-direced-broadcast (ou algo assim).
> O que mais eu posso fazer pra previnir este tipo de ataque?
>
No FreeBSD a opcao que nao permite a respostas de echo de broadcast ja' vem
setada como padrao. Voce pode acessa-la via: # sysctl net.inet.icmp.bmcastecho
--
Vinicius
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd