[GTER] Problemas de ataque.

[Rubens Kuhl Jr.]

>  Pessoal estou com um problema, Esta passando por meu roteador (maquina
> linux com o zebra) um trafego muito alto de requisições icmp .
>  As requisições  vem de diversas origens e vão para diversos endereços
> IPs dentro de minha rede, sendo impossível realizar um bloqueio!!
> Se for bloqueado todo trafego do protocolo icmp, aumentara em muito o
> processamento e a utilização de memória do roteador.

A utilização de memória já se dá quando o tráfego entra na conntrack,
então bloquear ou encaminhar o tráfego não faz diferença em utilização
de memória. Faça DROP sem log em PREROUTING; a carga no roteador não
mudará, mas pelo menos as máquinas atacadas passarão a respirar.

> Tem alguma maneira de ser resolvido este problema sem bloquear o trafego
> icmp?

Você permitir ICMP associados a algum outro tráfego com sessão na
conntrack, bloqueando sim apenas os ICMPs não-solicitados, não os que
são resposta a requisições válidas, mesmo que sejam pings, originadas
na sua rede.

> obs: ja foi aberto um chamado na Embratel e na telefonica pois possuímos
> 2 links  redundante  (1 link de 30mb Telefônica e Embratel 11mbps), e
> eles alegaram que não é possível criar um filtro para bloquear este tipo
> de trafego (icmp) pois afetara o desempenho de seus equipamentos.

A questão aqui não é filtrar icmp, mas qualquer filtro; o impacto de
desempenho para os equipamentos deles independe de filtrar este ou
aquele protocolo, mas depende de filtrar ou não tráfego por qualquer
regra.

O lado ruim é que você descobriu que não pode contar com eles quando
estiver nessa situação, o lado bom é exatamente o mesmo e permite que
você agora procure fornecedores com uma postura mais adequada.




Rubens