At 09.36 20/09/02 +0200, you wrote:
> > potrei essere un cattivone che ti dossa la box....
> se mi stai dossando, che io ti filtri o meno fa ben poca differenza.
ovviamente dipende da cosa intendiamo con DOS comunque mi riferivo a casi
tipo:
vado a memoria, e non l'ho provato su linux, ma se un cattivone manda un echo
replay di 1M facendo finta essere la box da dossare questa, comincia un ciclo
virtuoso di ping da 1M su se stessa....
se accetti icmp di tipo 5 posso mandarti un redirect per modificare le tue
rotte come voglio io ad esempio verso la lo... interrompendo tutte le nuove
connessioni da reti diverse (se sei in DMZ qualche danno lo faccio...)
Bloccarli tutti non va bene cmq. Meglio mettere delle regole che evitino
appunto i DoS che haid etto, ovvero
rifiuto di ICMP con sorgente_ip_interno provenienti sulla NIC della rete
esterna
limiti ICMP (che so..... 1 al secondo)
rifiuto di ICMP uscenti con indirizzo sorgente_ip_interno dalla NIC di rete
esterna
droppare gli ICMP che finiscono in FORWARD (se un client interno ha bisogno
di qualcosa lo chiede al gateway, non lo riceve dall'esterno direttamente)
e via dicendo.....
basta mettere solo le regole per gli attacchi noti e rimanere aggiornati se
ne escono di nuovi
Sythos - http://www.sythos.net
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GE d- s+:+ a+ C++ U P! L+++ E-- W+++ N++ o K- w O-- M- V-- PS+ PE++ Y+
PGP++ t++ 5 X+ R+ tv b++ DI++ D++ G++ e+++ h+ r y+
------END GEEK CODE BLOCK------
|