|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Serguei E. Leontiev 2:5020/400 16 May 2001 00:45:10
To : All
Subject : Re: icmp echo reply
--------------------------------------------------------------------------------
Здравствуйте,
"Eugene Grosbein" <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote in message
news:1764965882@www.svzserv.kemerovo.su...
> 14 май 2001, понедельник, в 23:29 KRAST, NiK написал(а):
>
> > SL> Да и сканируют уже не только с помощью ICMP.
> > защита от ping and traceroute
>
> Объясните мне популярно, чем страшны ping и traceroute?
Hа пример, позитивный вариант:
Nik ставит узел для проверки качества своей сети со стороны Internet или
ставит там же сенсор системы обнаружения атак. Для того, что бы
дополнительно не получить атаки на этот узел у Hика возникае желание сделать
этот узел не видимым. Однако, у Hика нет возможности обеспечить независимый
канал связи с этим узлом, т.е. он вынужден общатся с этим узлом по тому же
Ethernet, но только с фиксированых узлов.
Сложность задачи зависит от требуемой конфигурации.
Вариант 1:
Чужой узел всегда выходит с фиксированного(ых) Ethernet адресов (на пример,
через маршрутизатор), Hик всегда выходит тоже с фиксированного(ых) Ethernet
адресов (на пример, через МЭ). Собственно требуется не пересечение Ethernet
адресов и возможность настроить свои узлы.
Тогда у узла надо отключить ARP ответы (вообще отключить ARP и работать со
статической таблицей), у МЭ надо прописать статическую ARP таблицу на узел
(надо не забыть всякие протоколы маршрутизации и IP forwarding). Тогда узел
станет не обнаружимым со стороны Чужого, в предположении, что Чужой не имеет
доступа к соответсвующему сегменту Ethernet.
Hастроить работу со статической ARP таблицей и отключить ARP можно на очень
большом спектре ОС и маршрутизаторов (по моему даже Windows).
Вариант 2:
Чужой узел всегда выходит с фиксированного(ых) Ethernet адресов (на пример,
через маршрутизатор), Hик всегда выходит тоже с фиксированного(ых) Ethernet
адресов (на пример, через МЭ). Hо нет возможности настроить свои узлы.
Тогда узел должен фильтровать входящие пакеты до протокола ARP, что
встречается значительно реже. Из известных мне реализаций, которые могут
фильтровать ARP (ровно половину, я делал сам:).
Hо можно найти что-то готовенькое.
Вариант 3:
Чужой узел может выходить с тех же Ethernet адресов, что и Hик.
Возникает проблема обнаружения на уровне протокола ARP. Примерный алгоритм
работы ARP
- смотрим ARP таблицу
- если IP обнаружен и HWадрес хороший, то посылаем на него пакет;
- если IP обнаружен, но в процессе выяснения, пакет ставим в очередь
(типичная длина очереди 1 пакет);
- если IP обнаружен, но отмечен как host unreachble, то возвращаем
отправителю ICMP host unreachble;
- если IP не обнаружен, то посылаем широковещательный ARP запрос, если в
течении тайм-аута (1 сек) не получаем ответа, то отмечаем в таблице, что
данный IP host unreachble.
- время жизни каждого не статического элемента таблицы ограничено (15
минут).
Поэтому, если чужой, делает ping на отсуствующий узел с периодом 0.5 с, то
получаем картину:
1-3 пакеты исчезли, 4-904 ICMP host unreachble от маршрутизатора или ошибка
от socket-а, 905-908 пакеты исчезли и т.д.
Если есть свободное адресное пространство, то проще всего достаточно часто
менять IP адрес узла по какому либо закону в зависимости от времени. А
получаемые не правильные пакеты просто уничтожать, если период смены IP
адреса будет меньше минуты, то различить неправильность распределения дырок
в ICMP host unreachble будет затруднительно.
В противном случае придётся полностью имитировать ARP и пакеты ICMP host
unreachble от маршрутизаторе(ах) (для этого придётся отключить контроль
подмены IP адресов на маршрутизаторе(ах)).
--
LSE, Сергей Леонтьев, Крипто-Про, http://www.cryptopro.ru
--- ifmail v.2.15dev5
* Origin: OOO Crypto-Pro (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: icmp echo reply |
Serguei E. Leontiev |
16 May 2001 00:45:10 |
|
|
