Vlákno názorů k článku Odposloucháváme data na přepínaném Ethernetu (4.) od neo - chtel bych vas poprosit o radu. jsem pripojen...
-
neo (neregistrovaný)chtel bych vas poprosit o radu. jsem pripojen mistni bezdratove site pres AP/client ...muj problem je takovy, ze mi nekolikrat za den vypadne odchozi spojeni, pouzivam program Kerio Winroute Firewall a zjistil jsem ze mi tesne pred kazdym vypadkem prijde ICMP packet, presneji tento - proto:ICMP, len:28, ip:10.7.1.7 -> 10.7.1.3, type:8 code:0 ...po precteni tohoto clanku me samozrejme napadlo ze by mohlo jit o nejaky druh icmp redirect útoku nebo něco podobneho. poradi mi nekdo prosim???
-
To tezko, typ 8 je echo ... podivej se jestli na ne odpovidas. Je mozny, ze ti nekdo posle echo a kdyz neodpovis, odstrihne te s tim ze jsi asi dole.
ICMP jsou skvela vec, skoda ze nekteri straspytlove je na firewallech hromadne zahazuji ... vcetne typu 8 (echo) a 3 (Destination unreachable) nebo "alespon" typ 3 kod 4 (Fragmentation needed). -
Michal Kubeček (neregistrovaný)Jen pro upřesnění: typ 3 kód 4 znamená "Fragmentation needed and DF set", tj. že někam dorazil paket, který je příliš dlouhý, aby byl poslán dál bez fragmentace, ale má v IP hlavičce nastaven příznak DF (don't fragment). Nezdá se mi, že by si tento typ zasloužil nějaké mimořádné zacházení odlišné od ostatních ICMP message s typem 3 (destination unreachable) nebo 11 (time exceeded). Propouštět by se měly všechny (i když obvykle s nějakým kvanitativním omezením).
-
Kdybych vedel, ze vas to vyprovokuje k napsani prispevku, tak bych to upresnil rovnou.
Zminil jsem se o tom proto, ze skutecne jednu dobu nektere servery zminene packety zahazovaly a tim dost zhorsovali praci ve VPN. Samozrejme, ze spravne by se meli propoustet vsechny (+- kvantitativni omezeni, ale to by melo byt rozumne vysoko).
ČLÁNKY DO MAILU