UDP Punch Attack

Чтиво:

Если появляются сообщения типа

Limiting icmp unreach response from 1293 to 200 packets/sec

то это может означать, что к вам пытаются стучаться с запросами по UDP на неработающий порт.

Мы можем подавить сообщения в сислоге, установив значения blackhole через sysctl как

sysctl -w net.inet.tcp.blackhole=2
sysctl -w net.inet.udp.blackhole=1

однако, это не устранит источника стука к нам; поможет только фаерволл.
Если даже вы за НАТ-ом, подобная ситуация возможна, если атакующим применяется техника UDP Hole Punch

Судя по статье, приведенной выше, наша машина как-то (и почему-то) умудряется стучаться из-за НАТ-а на внешний айпишник, в результатте чего наш нат воспринимает посылаемые ему пакеты как ответ на ранее осуществленный “стук”. При этом, адрес отправителя запросов к нам (в силу протокола UDP) может быть легко подделан.
То есть наша машина раз в несколько минут стучится по UDP на адрес 3.3.3.3 порт 123, а машина с айпишником 12.12.12.12, подделав IP на 3.3.3.3 лезет к нам с запросами на наш внешний IP-адрес; НАТ же эти запросы пропускает (считая их ответами на наш запрос).

Вывод

Безопасность - в первую очередь файерволл.

security_lab/udp_punch.txt · Last modified: 2014/08/27 11:47 by rybario
About this template
CC Attribution-Share Alike 4.0 International
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5