© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Bernd Walter <ticso(at)cicely12.cicely.de> wrote:
> On Thu, Aug 12, 2004 at 04:31:19PM +0200, Oliver Fromme wrote:
> > Wenn jemand in böser Absicht (DoS) Adressen fälscht, ist
> > das denkbar; siehe Bernds Antwort. Das geht aber auch mit
> > anderen Arten von Paketen, nicht nur Ping. (Andererseits
>
> Nein - das geht in der Form tatsächlich nur mit ICMP.
(Was ist mit TCP-Setup-Paketen?) Ich meinte allerdings in
dem Zusammenhang eher Angriffe mit gefälschten Adressen im
allgemeinen.
> Und ist auch keineswegs auf FreeBSD begrenzt, FreeBSD hat lediglich
> eine Maßnahme dagegen default aktiviert.
In der Tat.
> > Mit regulären Pings ist das aber eher nicht so leicht ein
> > Problem -- außer, wenn jemand mit einem Ping-Flood das
> > Netzwerk (den Uplink oder was auch immer) dichtmacht.
>
> Doch - gerade mit pings ist das ein Problem, da die Antworten vom
> Kernel selber erzeugt werden und genauso groß sind wie der Request.
Genau das hatte ich geschrieben, und daher auch auf den
entsprechenden sysctl hingewiesen, der die Antworten limi-
tiert.
> > Aber dagegen kannst Du eh kaum etwas auf technischer
> > Ebene unternehmen. Der sysctl beeinflußt ja nur die
> > Rate der ICMP-Pakete, die Dein Rechner selbst erzeugt;
> > aber die hereinkommenden können nach wie vor die Leitung
> > plattmachen.
>
> Ja - die Leitung schon, aber der Rechner läuft zumindest weiter
> und ist aus dem Internen Netz noch ereichbar.
> Das sehe ich schon als einen wesentlichen Unterschied an.
Ja, aber für die Außenwelt ist er offline, oder zumindest
nur noch sehr schwer zu erreichen oder sehr langsam -- was
für den DoS-Angreifer meistens schon ein Erfolg ist. Und
beim Support steht das Telephon nicht mehr still. Genau
das Problem, das hier vermieden werden sollte.
> > Eine denkbare Maßnahme wäre, per Paketfilter (z.B. IPFW)
> > ICMP-ECHO-Pakete zu sperren, die eine bestimmte Größe
> > überschreiten. Du könntest auch alle Ping-Pakete durch
>
> Gute Idee.
>
> > eine Dummynet-Pipe schicken und sie auf diese Weise be-
> > grenzen (generell oder pro IP).
>
> Schlechte Idee, da du Packete ausbremst und wieder jemand über
> hohe Laufzeiten oder Packetverluste klagen könnte.
Bremsen soll er ja nicht. Nur ein Limit setzen, so daß er
im Falle eines Angriffs ab einer bestimmten Rate anfängt,
Pakete zu verwerfen. Ganz ohne Paketverlust wird es bei
einem Angriff nicht gehen, wenn er nicht endlos Resourcen
hat.
> Pro IP klingt aber wieder gut.
Das wäre in der Tat besser, hilft aber z.B. bei einem An-
griff nicht, bei dem viele (zufällige) IP-Adressen verwen-
det werden.
> Letzlich aber ein erstaunlicher Aufwand für einen Ping Server ;-)
Ja, das finde ich auch. :-) Aber das muß der ursprüngli-
che Fragesteller selbst abwägen. Zumindest kennt er jetzt
die Möglichkeiten.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. Passwords are like underwear. You don't share them, you don't hang them on your monitor or under your keyboard, you don't email them, or put them on a web site, and you must change them very often. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 12 Aug 2004 - 19:35:55 CEST