[FUGSPBR] suspeita de atack

Ricardo A. Reis n.i.b em terra.com.br
Qui Jul 18 19:34:20 BRT 2002 

> Só seu que começaram aparecer msgs do tipo :
> freebsd /kernel: Limiting icmp unreach response from 228 to 200 packets per
> second
  
  O seu kernel ta configurado pra rejeitar mais de 200 pacotes de icmp
 do tipo destination unreachable, isso ajudar a previnir ataques do
tpo DOS... porem vir a aparecer algo como tcp reset esse tambem se aplica!
  > 
> Não teve jeito de arrumar momentaneamente.. e montei outra maquina freebsd
> em 20 minutos tava aparentemente tudo no ar.. direto na speedy. Quando fui
> habilitar o NAT para minha surpresa não estavamos navegando na net. Quando
> digitei tcpdump para ver o que poderia estar ocorrendo, recebo uma msg de
> kernel/ promiscuou mode enable e disable.. and so on.

   A tcpdump com qualquer sniffer de rede abilita a promiscuidade da
sua interface de rede, sendo assim ele pode capturar qualquer pacote
mesmo que naum seja ele o dono.
 
#ifconfig
tun0: flags=8151<UP,POINTOPOINT,RUNNING,PROMISC,MULTICAST> mtu 1492
	inet 120.218.1.7 --> 20.11.110.242 netmask 0xffffff00 
	Opened by PID 459
nib# 

   Tavendo o PROMISC abilitado!! quando vc tiver algo assim no seu
ifconfig e naum estiver utilizando um sniffer ..ai e' problema.!!
   Vc tento colocar sua maquina "aquela do speed" em outro ip...
   Assim saber se tem alquem na sua cola "no seu ip", acrescente
regras no seu firewall para limitar os tipo de icmp e flags tcp ..

timitando flags "syn,fin" e "syn,rst" tipicas em DOS!

add 00005 deny log logamount 10 tcp from any to any tcpflags syn,fin
via tun0 in
add 00006 deny log logamount 10 tcp from any to any tcpflags syn,rst
via tun0 in

Limnitandp pacote fragmentados ..muito comum em DOS!

add 00007 deny log logamount 300 all from any to any in frag 

Limitando os tipo de ICMP 
"Echo Reply,Echo Request (Pedido de Echo),Time-to-Live Exceeded (TTL
Excedido)"

add 00090 allow icmp from any to any via tun0 in icmptypes 0,8,11

tudo isso sendo seu firewall do tipo closed, e' so uma ideia mude como
for melhor!

t++



     


--------------------------------------------
"FreeBSD,BeOS,Linux"|"Cisco Network Academy" 
--------------------------------------------
  BSD User = 050834 | Linux User = 280168
--------------------------------------------
        The Power to the Serve
         


________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd