[GTER] IP spoofing: "rastreamento" e contatos com operadoras
Danton Nunes
danton at inexo.com.br
Mon Jan 26 20:56:42 -02 2009
On Mon, 26 Jan 2009, Wesley FreeBSD Consult wrote:
> Danton,
> "Existem coisas que o dinheiro não compra, para todas as outras existe
> FreeBSD.
> "Tem coisas que so o FreeBSD faz para você."
>
> "ipfw" deny log logamount 100 ip from any to any not verrevpath in
> "pf" antispoof quick for { lo $int_if }
>
> Igual ao unibanco SIMPLES ASSIM.!
e errado assim. considere o caso da consulta furada de DNS. como você
distingue o bom datagrama do mau datagrama? pela RFC-3514?
o que o freebsd pode fazer (e qualquer outro filtor de pacotes minimamente
decente) é:
1. recusar entrada a pacotes que deveriam se originar dentro de minha rede e
2. recusar a saída a pacotes que não se originaram na minha rede.
especialmente 2 ajuda muito a prevenir o spoofing, mas é muito difícil de
ser implementado a não ser em redes de usuários finais. em redes que
proveem trânsito para terceiros só BCP-30 mesmo.
More information about the gter
mailing list