[GTER] Tuneis ICMP

Lucas Willian Bocchi lucas.bocchi at gmail.com
Mon Jul 16 17:35:55 -03 2012 

Em 16 de julho de 2012 17:06, Henrique de Moraes Holschuh
<henrique.holschuh at ima.sp.gov.br> escreveu:
> On 16-07-2012 10:20, Lucas Willian Bocchi wrote:
>>
>> Nos meus roteadores linux, criei um wrapper com libcap e C pra
>> encher o payload de pacotes com 0. Vamos ver se funciona.
>
>
> Mexer no payload de certos ICMPs vai fazer com que alguns OS os ignore.
Certamente, mas já havia previsto isso. Tentei fazer um controle para
que os pacotes válidos de alguns SO's passem pelo wrapper livres. Só
quando detecto um excesso de pacotes icmp de uma determinada direção
para a outra que o software começa atuar. Até agora está bem, veremos
se haverá reclamações.

>
> Não é mágica que faz o OS conseguir relacionar um ICMP recebido com uma
> sessão TCP ou UDP ativa: é o payload do ICMP que permite isso.
Justamente por este motivo que deixo passar as mensagens de controle
ICMP fora dos controles de banda. Quando um ICMP por acaso cai num
taildrop da vida há a retransmissão, e às vezes é um PORT UNREACHABLE
que chega ou alguma outra mensagem que vá fazer com que o sistema pare
de transmitir / receber naquela porta ou envie um FIN para a outra
ponta.

>
> Em outras palavras, sugiro que pare de se esforçar para quebrar a
> Internet e simplesmente deixe de considerar ICMP como exceção no
> controle da banda como outros já lhe sugeriram.
>
Não considero isso como uma quebra da internet, afinal, já fazemos
controle de banda. Isso não é quebrar o princípio da neutralidade de
rede? As operadoras não zeram pacotes TOS setados na rede da gente e
colocam os delas? Não priorizam tráfego??? Não vejo o por quê não
posso fazer isso.

> Ou, se vai insistir em interferir com os ICMPs, pelo menos use algum
> método menos esdrúxulo, como por exemplo, rate-limit.
>
Não considero um wrapper em C para simplesmente zerar o payload (e não
de todos os pacotes, me desculpem por não citar isso) algo esdrúxulo.
Fiz para aprender a usar libpcap. Bem interessante! Existem muitas
outras coisas que são feitas por aí que são bem mais ridículas que
isso.
Considerarei usar rate-limit no mikrotik.

> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list