[FUG-BR] Limiting icmp unreach response from 202 to 200 packets/sec
João Paulo Just
jpjust em justsoft.com.br
Segunda Janeiro 14 10:46:12 BRST 2008
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
c0re dumped wrote:
| Geralmente existem duas situações principais que um host (ou um GW)
| envia uma resopsta ICMP unreacheable:
|
| 1 - tentativa de conexão numa porta que não está disponível no host
| (Ex vc tenta a porta 443 quando na verdade só a 80 está com o processo
| em LISTENING);
|
| 2 - quando o pacote chega no GW para onde o endereço IP deveria estar
| atrás e este endereço não está disponível (aqui pode ser por uma série
| de motivos: host deligado, bloqueio de firewall, etc);
Na verdade, o que estava acontecendo é que 3 IPs de fora do Brasil
estavam inundando meu servidor com pacotes UDP de 1 byte pra porta 65000
(porta onde não tenho nenhum serviço rodando). Isso derrubou meu link e
a Embratel caracterizou como ataque. Tudo só pôde ser resolvido depois
de um filtro feito pela Embratel.
Através do trafshow foi que descobri os 3 IPs, e através dele também, vi
que o servidor ficava inocentemente respondendo os pacotes UDP com ICMP
unreacheable port, inundando mais ainda o link. Por isso queria poder
limitar essas respostas ou até mesmo bloqueá-las pelo FW.
| Nos dois casos vc pode bloquear o envio da resposta via FW. Supnho que
| essa sua máquina esteja atrás de um FW correto ? Se sim, deixe passar
| somente conexões que vão para a porta a qual o processo está ativo e
| bloqueie o envio de respostas ICMP pelo FW.
|
| Se a sua máquina é um GW (e muito provalemente, um FW) bloqueie o
| envio de respostas ICMP (exceto as que vc desejar) por parte deste.
|
| Desta forma você não precisará mexer em limite algum no host destino
| além de poder estender facilmente este tipo de proteção às outras
| máquinas.
Uso IPFW, como seria a regra pra tal bloqueio? (quero deixar os PINGs
funcionando, pelo menos por enquanto)
- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Ilhéus, BA, Brasil.
+55 75 8104 8473
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHi1mUXL+vuN2d7ZwRAt4LAKCwTIrxhWlyZb9U8mF22H5i+6793gCgnU3S
BpoIUei97BaBX75Ccik3uXk=
=i3Vy
-----END PGP SIGNATURE-----
Mais detalhes sobre a lista de discussão freebsd