[FUG-BR] Limiting icmp unreach response from 202 to 200 packets/sec

[Marcelo de Souza Sant'Anna]

Se você deixar passar apenas os pacotes para os serviços que
disponibiliza já resolve seu problema. Isto não impede que seus
servidores respondam a ICMP Request, basta criar regras para isto.


On Mon, 2008-01-14 at 09:46 -0300, João Paulo Just wrote:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> c0re dumped wrote:
> | Geralmente existem duas situações principais que um host (ou um GW)
> | envia uma resopsta ICMP unreacheable:
> |
> | 1 - tentativa de conexão numa porta que não está disponível no host
> | (Ex vc tenta a porta 443 quando na verdade só a 80 está com o processo
> | em LISTENING);
> |
> | 2 - quando o pacote chega no GW para onde o endereço IP deveria estar
> | atrás e este endereço não está disponível (aqui pode ser por uma série
> | de motivos: host deligado, bloqueio de firewall, etc);
> 
> Na verdade, o que estava acontecendo é que 3 IPs de fora do Brasil
> estavam inundando meu servidor com pacotes UDP de 1 byte pra porta 65000
> (porta onde não tenho nenhum serviço rodando). Isso derrubou meu link e
> a Embratel caracterizou como ataque. Tudo só pôde ser resolvido depois
> de um filtro feito pela Embratel.
> 
> Através do trafshow foi que descobri os 3 IPs, e através dele também, vi
> que o servidor ficava inocentemente respondendo os pacotes UDP com ICMP
> unreacheable port, inundando mais ainda o link. Por isso queria poder
> limitar essas respostas ou até mesmo bloqueá-las pelo FW.
> 
> | Nos dois casos vc pode bloquear o envio da resposta via FW. Supnho que
> | essa sua máquina esteja atrás de um FW correto ? Se sim, deixe passar
> | somente conexões que vão para a porta a qual o processo está ativo e
> | bloqueie o envio de respostas ICMP pelo FW.
> |
> | Se a sua máquina é um GW (e muito provalemente, um FW) bloqueie o
> | envio de respostas ICMP (exceto as que vc desejar) por parte deste.
> |
> | Desta forma você não precisará mexer em limite algum no host destino
> | além de poder estender facilmente este tipo de proteção às outras
> | máquinas.
> 
> Uso IPFW, como seria a regra pra tal bloqueio? (quero deixar os PINGs
> funcionando, pelo menos por enquanto)
> 
> 
> - --
> João Paulo Just
> Diretor Executivo - Justsoft Informática Ltda.
> http://www.justsoft.com.br/
> - --
> Ilhéus, BA, Brasil.
> +55 75 8104 8473
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> 
> iD8DBQFHi1mUXL+vuN2d7ZwRAt4LAKCwTIrxhWlyZb9U8mF22H5i+6793gCgnU3S
> BpoIUei97BaBX75Ccik3uXk=
> =i3Vy
> -----END PGP SIGNATURE-----
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 189 bytes
Descr.: This is a digitally signed message part
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20080114/1273d6a3/attachment-0001.bin