Evitando IP spoofing
Publicado por Renato R. Ricci em 19/05/2006
[ Hits: 17.470 ]
Evitando IP spoofing
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.
Iptables:
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP
iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP
Espero ter ajudado..
MicroOLAP - Ferramenta para modelagem em PostgreSQL
Instalando PostgreSQL no FreeBSD
Conheça o Kapersky Cyberthreat Real-time Map
Confira a atualização do Xplico 0.7.0!
Desabilitando respostas a comandos ping
Bloqueio de acesso SSH para determinado IP
essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo
Olhá só... eu num sei se to certo (me corrija se não estiver)
Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).
P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?
Espero que entenda meu ponto de vista,
Slackware_10
Muito boa dica Renato.
Mas uma dúvida:
Se possuo a seguinte estrutura
\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24
Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??
Patrocínio
Destaques
Artigos
Máquina perereca - até onde é possível o uso de Linux?
Mitigação - O que é e quando é "seguro" desabilitar
Atualizar Debian Online de uma Versão para outra
A arte e a prática da Disciplina a longo prazo
Topgrade - Atualize seu sistema Linux inteiro com um único comando
Dicas
Site com diversos emojis para seus códigos
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Tópicos
A escola é altamente ineficiente e ineficaz! (7)
O que você está ouvindo agora? [2] (199)
Top 10 do mês
-
Xerxes
1° lugar - 73.831 pts -
Fábio Berbert de Paula
2° lugar - 48.143 pts -
Buckminster
3° lugar - 18.606 pts -
Mauricio Ferrari
4° lugar - 16.387 pts -
Daniel Lara Souza
5° lugar - 15.202 pts -
Alberto Federman Neto.
6° lugar - 14.083 pts -
edps
7° lugar - 13.432 pts -
Andre (pinduvoz)
8° lugar - 13.101 pts -
Diego Mendes Rodrigues
9° lugar - 12.783 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 12.064 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
