Re: ICMP bzw. ping Limit

From: Bernd Walter <ticso(at)cicely9.cicely.de>
Date: Fri, 21 Dec 2001 16:38:06 +0100



On Fri, Dec 21, 2001 at 03:43:42PM +0100, Oliver Schneider wrote:


> 


> Ich kann wunderbar auf einem Host wunderbar die Zahl der angenommen wie


> auch abgehenden Pings limitieren.


> 


> sysctl -w net.inet.icmp.icmplim=100


> 


> Der Wert gilt sowaohl für ausgehende wie auch eingehende Pakte. Wie


> erwingt man, dass diese Regel auf einem Router auch für Rechner


> "dahinter" gelten?



Das Feature hat die Aufgabe den Rechner selber vor Angriffen zu schützen.


Wenn du das auf einer Firewall machen willst mußt du das mit ipfw


machen.


Es macht eigendlich keinen Sinn vom default abzuweichen, weil du ja


schliesslich ICMP haben willst.


Nein - es limitiert keine Pings, sondern ICMP, was mehr als nur Pings


sind.


Und der Wert gilt auch nur für eingehende Packete.



> ipchains hat sowas implementiert, deswegen wollte ich aber nicht


> umsteigen. In der man page von ipfw kann ich nichts finden. Gibts einen


> einfachen Weg oder muss ich mit pipes arbeiten? Mit ipfilter habe ich


> noch nichts gemacht, ist ipfilter dafür besser geeignet?


> 


> ipfw add pipe 7 icmp from any to any


> ipfw pipe 7 config bw 320kbit/s queue 10KBytes


> 


> so in etwa?



Grundsätzlich ja.


Da ICMPs klein sind erscheint die Bitrate recht hoch.


Du wirst evtl auch über eine host mask nachdenken wollen.



Zu guter letzt macht das aber überhaupt keinen Sinn.


Die Limitierung ist da um Rechner vor replys auf nicht existierende


Rechner im lokalen LAN zu schützen.


Das sieht im Prinzip so aus, daß der Angreifer viele Packete mit


einem falschen Absender an das Opfer schickt.  Der wiederrum hat das


Problem die Antwortpackete bis zum Netzwerktimeout nicht loszuwerden und


geht das Risiko ein, daß ein Kernelbuffer vollläuft.


Da eine Firewall aber von draußen kein Packet mit einem internen


Absender reinlassen sollte existiert das Problem auch nicht.



> zum Schluß noch, auf SMP Maschine ist eher ipfilter oder ipfw


> performanter?



Weder ipfilter noch ipfw können eine zweite CPU sinnvoll nutzen.


SMP macht nur Sinn, wenn auf der Maschine noch andere Dienste laufen.



IMHO ist in der Regel ipfw die bessere Wahl.


Ipfilter hat allerdings den Reiz, daß man die gleichen Regeln auf


mehreren Betriebssystemem einsetzen kann.



-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 21 Dec 2001 - 16:38:02 CET













search this site