[GTER] IP spoofing: "rastreamento" e contatos com operadoras

Danton Nunes danton at inexo.com.br
Mon Jan 26 20:56:42 -02 2009


On Mon, 26 Jan 2009, Wesley FreeBSD Consult wrote:

> Danton,
> "Existem coisas que o dinheiro não compra, para todas as outras existe 
> FreeBSD.
> "Tem coisas que so o FreeBSD faz para você."
>
> "ipfw" deny log logamount 100 ip from any to any not verrevpath in
> "pf" antispoof quick for { lo $int_if }
>
> Igual ao unibanco SIMPLES ASSIM.!

e errado assim. considere o caso da consulta furada de DNS. como você 
distingue o bom datagrama do mau datagrama? pela RFC-3514?

o que o freebsd pode fazer (e qualquer outro filtor de pacotes minimamente 
decente) é:

1. recusar entrada a pacotes que deveriam se originar dentro de minha rede e
2. recusar a saída a pacotes que não se originaram na minha rede.

especialmente 2 ajuda muito a prevenir o spoofing, mas é muito difícil de 
ser implementado a não ser em redes de usuários finais. em redes que 
proveem trânsito para terceiros só BCP-30 mesmo.




More information about the gter mailing list