Evitando IP spoofing
Publicado por Renato R. Ricci em 19/05/2006
[ Hits: 17.713 ]
Evitando IP spoofing
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.
Iptables:
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP
iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP
Espero ter ajudado..
Instalando PostgreSQL no FreeBSD
MicroOLAP - Ferramenta para modelagem em PostgreSQL
OWASP Zed Attack Proxy Project
Que porta é essa? Identificando porta estranha no Linux
Antivírus com Samba - Servidor de Arquivos
essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo
Olhá só... eu num sei se to certo (me corrija se não estiver)
Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).
P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?
Espero que entenda meu ponto de vista,
Slackware_10
Muito boa dica Renato.
Mas uma dúvida:
Se possuo a seguinte estrutura
\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24
Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??
Patrocínio
Destaques
Artigos
XFCE - quase um Gnome ou Plasma mas muito mais leve
LXQT - funcional para máquinas pererecas e usuários menos exigentes
Dicas
Samba 4 AD-DC 2026: Como instalar e configurar um Active Directory (via APT-GET)
[Resolvido] Sumiço de redes e micro quedas no iwd/iwgtk (Realtek rtw88)
Como Configurar DNS Reverso (PTR) em Ambientes Linux e Microsoft
Preparando o Ambiente para Administrar o Samba 4 a partir do Windows com RSAT
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 121.253 pts -
Fábio Berbert de Paula
2° lugar - 58.272 pts -
Buckminster
3° lugar - 27.298 pts -
Mauricio Ferrari (LinuxProativo)
4° lugar - 18.962 pts -
Alberto Federman Neto.
5° lugar - 18.045 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 17.818 pts -
edps
7° lugar - 17.321 pts -
Sidnei Serra
8° lugar - 17.111 pts -
Diego Mendes Rodrigues
9° lugar - 16.972 pts -
Daniel Lara Souza
10° lugar - 17.146 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
