[GTER] Ping.

Christian Lyra lyra at pop-pr.rnp.br
Mon Aug 20 10:59:43 -03 2012


2012/8/20 Luis H. Forchesatto <luisforchesatto at gmail.com>

> Não Alfredo, o que eu me referia é mais ou menos o que o Cristian
> mencionou. Utilizar o TTL máximo para que o pacote fique mais tempo
> circulando em uma rede ou dentro de um loop, não me referia a ele ir e
> voltar. Aí sim, usar o loop que essa rede tem e o tempo de vida do pacote
> para causar um congestionamento.
>
>
Oi Luis,

Como eu comentei, uma das ações é vc ter as rotas para null, e isso tem que
ser feito pelo lado detentor do prefixo. A outra ação é vc, provedor,
aplicar um rp-filter, ou seja, em determinada interface não aceitar pacotes
entrantes para destinos que vc roteia por essa interface. Fazer qualquer
filtro baseado no TTL do pacote me parece perigoso e pouco eficiente. Ah
sim... o TTL inicial de cada pacote pode ser determinado pelo sistema
operacional! Uns usam 256, outros 128 e alguns 64!



> Em 20 de agosto de 2012 08:38, Christian Lyra <lyra at pop-pr.rnp.br>
> escreveu:
>
> > 2012/8/18 Luis H. Forchesatto <luisforchesatto at gmail.com>
> >
> > > Olá.
> > >
> > > Salvo engano o TTL máximo que um pacote icmp pode ter é 256, 2^8 bits
> (me
> > > corrijam se estiver errado). Juntando isso com um spoof de IP eu
> poderia
> > > usar uma botnet para disparar vários pacotes fazendo eles passarem por
> > > vários roteadores, chegar no seu destino e voltar para a "origem",
> > deixando
> > > um grande segmento de rede afetado juntamente com o host que recebe as
> > > requisições e o host que recebe a resposta. É possível isso ou existe
> > > alguma maneira de detectar quando um pacote icmp com ttl máximo está
> > > trafegando com a intenção de gerar tráfego apenas?
> > >
> >
> > Nesse caso o TTL faz pouca diferença. Onde o TTL faz diferença é quando o
> > atacante consegue identificar um caminho no qual existe um loop de
> > roteamento, ai sim, ele manda o pacote com TTL alto e o pacote fica
> > "circulando" dentro do loop até o TTL expirar. Essa situação é bem comum
> de
> > acontecer quando vc roteia estaticamente um prefixo para um cliente, e o
> > cliente resolve não usar o prefixo inteiro, e daí vc tem que ficar
> > explicando que ele precisa criar uma rota para null no roteador dele.
> >
> >
> >
> > --
> > Christian Lyra
> > PoP-PR/RNP
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Att.*
> ***
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Christian Lyra
PoP-PR/RNP



More information about the gter mailing list