[GTER] IP spoofing: "rastreamento" e contatos com operadoras

Julio Arruda jarruda-gter em jarruda.com
Segunda Janeiro 26 22:49:44 BRST 2009


Danton Nunes wrote:
> On Mon, 26 Jan 2009, Wesley FreeBSD Consult wrote:
> 
>> Danton,
>> "Existem coisas que o dinheiro não compra, para todas as outras existe 
>> FreeBSD.
>> "Tem coisas que so o FreeBSD faz para você."
>>
>> "ipfw" deny log logamount 100 ip from any to any not verrevpath in
>> "pf" antispoof quick for { lo $int_if }
>>
>> Igual ao unibanco SIMPLES ASSIM.!
> 
> e errado assim. considere o caso da consulta furada de DNS. como você 
> distingue o bom datagrama do mau datagrama? pela RFC-3514?
> 
> o que o freebsd pode fazer (e qualquer outro filtor de pacotes 
> minimamente decente) é:
> 
> 1. recusar entrada a pacotes que deveriam se originar dentro de minha 
> rede e
> 2. recusar a saída a pacotes que não se originaram na minha rede.
> 
> especialmente 2 ajuda muito a prevenir o spoofing, mas é muito difícil 
> de ser implementado a não ser em redes de usuários finais. em redes que 
> proveem trânsito para terceiros só BCP-30 mesmo.
> 

Recentemente o Danny McPhearson comentou no NANOG exatamente algo no 
sentido de "nao estar implementado ainda em muitas redes", e que nao 
existe razao para nao ser implementado.

Estive falando com uns loucos de Ann Arbor, para ver uma maneira de 
simplificar a monitoracao de spoofed IPs no Peakflow SP (e' facil de 
monitorar com Netflow, o que da trabalho e' manter as listas :-), ao 
contrario de uRPF, nao e' 'consequencia' da routing table..:-)..
Vamos ver se vai a algum lugar, se pinta um feature request :-)..



More information about the gter mailing list