Re: Rechner zum Pingen

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Thu, 12 Aug 2004 20:04:52 +0200

On Thu, Aug 12, 2004 at 07:35:24PM +0200, Oliver Fromme wrote:
> Bernd Walter <ticso(at)cicely12.cicely.de> wrote:
> > On Thu, Aug 12, 2004 at 04:31:19PM +0200, Oliver Fromme wrote:
> > > Wenn jemand in böser Absicht (DoS) Adressen fälscht, ist
> > > das denkbar; siehe Bernds Antwort. Das geht aber auch mit
> > > anderen Arten von Paketen, nicht nur Ping. (Andererseits
> >
> > Nein - das geht in der Form tatsächlich nur mit ICMP.
>
> (Was ist mit TCP-Setup-Paketen?) Ich meinte allerdings in
> dem Zusammenhang eher Angriffe mit gefälschten Adressen im
> allgemeinen.

Beim TCP Setup sind alles kleine Packete und beziehen sich auf einen
genannten Socket.
Natürlich kann man damit auch ganz üble Sachen treiben und ebenfalls
den Service von außen unnutzbar machen, aber die Wirkung auf dem
Rechner selber ist denoch ein anderer.

> > > Mit regulären Pings ist das aber eher nicht so leicht ein
> > > Problem -- außer, wenn jemand mit einem Ping-Flood das
> > > Netzwerk (den Uplink oder was auch immer) dichtmacht.
> >
> > Doch - gerade mit pings ist das ein Problem, da die Antworten vom
> > Kernel selber erzeugt werden und genauso groß sind wie der Request.
>
> Genau das hatte ich geschrieben, und daher auch auf den
> entsprechenden sysctl hingewiesen, der die Antworten limi-
> tiert.

Ist aber fraglich, ob man das auf einem Ping Rechner haben will.
Mich hat das Feature schon immer genervt, da man damit keine
neu geschaltete Leitung per ping durchtesten kann.

> > > Aber dagegen kannst Du eh kaum etwas auf technischer
> > > Ebene unternehmen. Der sysctl beeinflußt ja nur die
> > > Rate der ICMP-Pakete, die Dein Rechner selbst erzeugt;
> > > aber die hereinkommenden können nach wie vor die Leitung
> > > plattmachen.
> >
> > Ja - die Leitung schon, aber der Rechner läuft zumindest weiter
> > und ist aus dem Internen Netz noch ereichbar.
> > Das sehe ich schon als einen wesentlichen Unterschied an.
>
> Ja, aber für die Außenwelt ist er offline, oder zumindest
> nur noch sehr schwer zu erreichen oder sehr langsam -- was
> für den DoS-Angreifer meistens schon ein Erfolg ist. Und
> beim Support steht das Telephon nicht mehr still. Genau
> das Problem, das hier vermieden werden sollte.

Du kommst aber noch auf den Rechner drauf und kannst die Ursache
ermitteln.
Außerdem überlebt der Rechner einen solchen Angriff und nachher
ist alles wieder OK, während ein Ping Angriff mit gefaktem LAN Absender
die Maschine mit deutlich weniger Packeten dauerhaft ausschalten kann.
Matt hat das gut beschrieben als er das Feature eingebaut hat und er
war damals auch Opfer solcher Angriffe.

> > > Eine denkbare Maßnahme wäre, per Paketfilter (z.B. IPFW)
> > > ICMP-ECHO-Pakete zu sperren, die eine bestimmte Größe
> > > überschreiten. Du könntest auch alle Ping-Pakete durch
> >
> > Gute Idee.
> >
> > > eine Dummynet-Pipe schicken und sie auf diese Weise be-
> > > grenzen (generell oder pro IP).
> >
> > Schlechte Idee, da du Packete ausbremst und wieder jemand über
> > hohe Laufzeiten oder Packetverluste klagen könnte.
>
> Bremsen soll er ja nicht. Nur ein Limit setzen, so daß er
> im Falle eines Angriffs ab einer bestimmten Rate anfängt,
> Pakete zu verwerfen. Ganz ohne Paketverlust wird es bei
> einem Angriff nicht gehen, wenn er nicht endlos Resourcen
> hat.

Ein brauchbares Limit ereicht man letzlich nur durch eine queue, die
dann aber auch gleich wieder bremst.

> > Pro IP klingt aber wieder gut.
>
> Das wäre in der Tat besser, hilft aber z.B. bei einem An-
> griff nicht, bei dem viele (zufällige) IP-Adressen verwen-
> det werden.

Doch - das hilft durchaus, weil es ja nur eine überschaubare Anzahl
unbenutzter Addressen im LAN gibt.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 12 Aug 2004 - 20:05:43 CEST

search this site