[FUGSPBR] [OFF] The IP Smart Spoofing

Fernando Monteiro fmonteiro em ccq.com.br
Qui Nov 7 12:45:47 BRST 2002


> Sim,
>
> E o ipfw statefull nao soluciona esta problema ???
>
> No caso o keep-state e check-state nao barram o spoof ?

Não pq o ataque está na camada de baixo. O ataque simplesmente manda
um boradcast para a rede informando que o IP X, que era de um servidor
e estava relacionado ao MAC address MAC-X agora deve apontar para o
endereço MAC-Y de uma máquina de um cracker.

O keep state e a sequência de pacotes podem até mostrar alguma coisa
errada acontecendo, mas as novas conexões poderão acontecer sem
problemas.

O que poderia solucionar esse problema em LANs seria criar filtros por
MAC adresses ou usar alguma altenticação melhor (como IPSec - que traz
um custo de processamento maior devido ao crypt/decrypt maior). Outra
possibilidade é criar um monitor de ARP que investigasse qq mudança,
atuando como um IDS.

[]s,

Fernando Monteiro


_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd