Инструменты пользователя

Инструменты сайта


borba_so_spufingom_antispoof

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Следующая версия
Предыдущая версия
borba_so_spufingom_antispoof [2009/10/04 14:35]
127.0.0.1 внешнее изменение
— (текущий)
Строка 1: Строка 1:
-====== Борьба со спуфингом (antispoof) ====== 
- ​IP-спуфинг — подделка исходящих адресов в заголовке IP пакета (см. [[spoofing]]). 
  
-Пакетный фильтр может осуществлять защиту от спуфинга при помощи правил начинающихся с ключевого слова antispoof: 
- 
-antispoof [log] [quick] for interface [af] 
-            ​ 
- 
-log 
-    Пакеты будут помещаться в журнал при помощи pflogd(8) 
-quick 
-    Пакет соответствующий правилу будет немедленно отброшен и не пойдёт на другие правила,​ которые могут его пропустить. ​ 
-interface 
-    Сетевой интерфейс на котором производится защита от спуфинга (здесь может быть указан список) ​ 
-af 
-    Протокол для которого осуществляется защита. Может быть как IPv4, так и IPv6. Соответственно inet и inet6. ​ 
- 
-Пример:​ 
- 
-  antispoof for fxp0 inet 
-            ​ 
- 
-Каждое правило antispoof превращается в два правила фильтра. Например,​ если за интерфейсом fxp0 закреплён адрес 10.0.0.1 и сетевая маска 255.255.255.0 (т.е. /24), то предыдущее правило превратится в следующие два правила:​ 
- 
-  block in on ! fxp0 inet from 10.0.0.0/24 to any 
-  block in inet from 10.0.0.1 to any 
-            ​ 
-Эти правила означают следующее:​ 
- 
-    * Блокируется весь входящий трафик из сети 10.0.0.1/24 (поскольку на самом деле такой трафик может быть только исходящим). 
-    * Блокируется весь трафик с адреса 10.0.0.1. Машина не должна посылать пакеты сама себе, иначе как на кольцевом интерфейсе. Таким образом,​ весь входящий трафик у которого исходящий IP 10.0.0.1 должен рассматриваться как злонамеренный. ​ 
- 
-Правило antispoof может заблокировать работу кольцевого интерфейса. Как правило,​ на кольцевом интерфейсе трафик вообще не фильтруют:​ 
- 
-  set skip on lo0 
-  antispoof for fxp0 inet 
-              ​ 
-Использование правила antispoof на интерфейсе,​ которому не присвоен IP-адрес превращается в правила типа: 
- 
-  block drop in on ! fxp0 inet all 
-  block drop in inet all 
-              ​ 
-и может заблокировать весь входящий трафик на всех интерфейсах. ​ 
borba_so_spufingom_antispoof.1254656100.txt.gz · Последние изменения: 2009/10/04 14:35 — 127.0.0.1