LINUX.ORG.RU
ФорумAdmin

Spoofing ip

 ,


1

2

Насколько велика вероятность того, что запрос на сервер пришел с фейкового(подмененого) IP? Насколько я знаю, маршрутизаторы у ISP блокируют такие пакеты(если SRC изменен), то есть если клиенту выдали 3 IP, то в пакете SRC должен быть именно эти адреса, а не другие. Или есть такие ISP которые не делают таких проверок? Насколько их много?

★★★★

Не путай ISP и хостинги

На уровне крупного ISP заниматься фильтрацией всего проходящего трафика никто не будет. По каждому изменению в BGP исправлять фильтры ? Нет.

Часть хостингов фильтруют чужие адреса в своих сетях, а часть нет.

Сколько их в процентном соотношении - ХЗ

vel ★★★★★ ()

Насколько их много?

Дофейхуа, сотни тысяч их. У меня пров как-то попал на марсианский ддос, куда как больше недели пытались решить проблему и это на уровне прова, у себя я бы точно решить не смог.

anc ★★★★★ ()
Ответ на: комментарий от vel

Зачем весь фильтровать? Я думал(думаю) фильтрует маршрутизатор, к которому подключен клиент. Шлюз знает о всех ip, которые он должен пропускать через себя. Я так... думаю)

gobot ★★★★ ()
Ответ на: комментарий от vodz

Я думаю этим должны занимать правоааахранитяльные органы, бороться с компьютерным вредительством

gobot ★★★★ ()
Ответ на: комментарий от gobot

Как вы с провайдером пришли к выводу, что адреса были фейковые? На основе чего?

На основании фэйк адресов, среди которых 8.8.8.8
Вот моя тема tcpdump - что за пакеты IP 8.8.8.8.53 > 1.1.1.1.80: 31654| 0/0/1 (36)

А пров пришел к такому выводу раньше, по причине что забили канал нафиг. Не только мне, а вообще вся сеть у него лежала.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от gobot

Свой трафик от своих мелких клиентов - да, можно фильтровать и не дорого для хостинга.

А если клиент крупный и со своей AS, то фильтровать его трафик уже не просто и не дешево.

Да и возможность ассиметричного хождения трафика не упрощает эту задачу.

Спуфинг/ddos делают за деньги и оно будет существовать пока приносит доход.

vel ★★★★★ ()
Ответ на: комментарий от anc

На основании фэйк адресов, среди которых 8.8.8.8

8.8.8.8 гугловский DNS... Ко мне кстати тоже приходил флуд с IP microsoft, google, но я подумал(думаю) что это с их хостинга паразит флудит, даже написал им и отправил списочек адресов(ответа конечно не было)... Но процент ложных отправителей не ясен и как проверить тоже не ясно

gobot ★★★★ ()
Ответ на: комментарий от vel

Свой трафик от своих мелких клиентов

вот именно это я имел ввиду

А если клиент крупный и со своей AS,

А что досер может целую сеть купить для флуда? Я то думал(думаю), что основа досеров это ботнет(зараженные компы, сайты и т.д.)

gobot ★★★★ ()
Ответ на: комментарий от vel

А если клиент крупный и со своей AS

То он не нуждается в хостере-дяди, или для каждого такого хостера является околомелким. Иначе получается, что он просто за так дарит связанность своей AS этому хостеру. Охренеть бизнес-план.

vodz ★★★★★ ()

Насколько велика вероятность того, что запрос на сервер пришел с фейкового(подмененого) IP?

Больше нуля :)

Насколько я знаю, маршрутизаторы у ISP блокируют такие пакеты(если SRC изменен), то есть если клиенту выдали 3 IP, то в пакете SRC должен быть именно эти адреса, а не другие.

НЯЗ, так никто не делает. Про изменения в BGP уже говорили, а там еще и асимметричная маршрутизация добавляет радости и света.

А в чем твой вопрос? Что именно ты хочешь защитить?

CaveRat ★★ ()

Если речь про http то нулевая.

anonymous ()
Ответ на: комментарий от gobot

Из реальных примеров у меня дома два прова, один из них пропускает чужие пакеты, второй нет. Так же знаю в Нидерландах не маленького прова который тоже пропускает чужие пакеты, обнаружил когда настраивал и ошибся в адресе. И это только пара мест которые я знаю, а представьте сколько таких по планете?

anc ★★★★★ ()
Ответ на: комментарий от CaveRat

Никто не делает? Сколько я не пробовал на хостингах указывать левый src, пакет не доходил до адресата. Вопросов много) Например, у меня есть доверенные ip, которые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес и пролезть внутрь? Если так, то ведь это дичь, это какая то дыра в tcp/ip

gobot ★★★★ ()
Ответ на: комментарий от anc

Ok, это уже хоть какая то инфа, что оказывается есть такие. Меня интересует также масштаб, вероятность. Вот например приходит мне 50000 пакетов с разных ип, как понять рассылает их один комп с фейковыми src или это ботнет.

gobot ★★★★ ()
Ответ на: комментарий от gobot

Вот например приходит мне 50000 пакетов с разных ип, как понять рассылает их один комп с фейковыми src или это ботнет.

Никак. Но скорее ботнет.
ЗЫ Хотя всего 50000 пакетов, это и на один комп потянет. Но понять вы не сможете откуда оно, от слова никак.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от gobot

Сколько я не пробовал на хостингах указывать левый src, пакет не доходил до адресата.

Вот на хостингах за этим чаще следят, и забанить могут. Другая инфраструктура.

Например, у меня есть доверенные ip, которые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес

Да

и пролезть внутрь?

Нет. Ответ уйдет не ему. Спите спокойно.

Собственно это и есть марсианские пакеты, ими ddos и устраивают. Когда src один(не реального отправителя), ответ от вашего сервера улетает тому кого подставляем.

anc ★★★★★ ()
Ответ на: комментарий от gobot

Ответ не уйдет

Ну при правильных настройках не уйдет :) Но не у всех же как у вас :)

anc ★★★★★ ()
Ответ на: комментарий от gobot

Печально. Нужно срочно переделывать ip протокол, он никуда не годится...

Причем тут протокол? Вам выше уже все описали и про BGP и асимметрию и т.д.

anc ★★★★★ ()
Ответ на: комментарий от gobot

торые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес

Это sync flood, посылается только первый пакет для установления соединения, сервер отправляет sync-ask на src ip из первого пакта и ждет ask ответ. Все лекарства сводяться к тому что у атакующего могут быть какие нибудь маркеры отличающие его трафик от обычного трафика, как например размер mss и т.д. еще временные интервалы, я так понимаю сложно побороть, говорят обращайтесь к профессионалам, у них мощные сервера, широкие каналы, за ваши деньги отфильтруют мусор. Но никто тебя sync flood ом не взломает цель только зафлудить канал, затрудить работу с твоим сервисом другим пользователям, т.к. sync-flood победили в SCTP правда я понятия не имею можно ли по этому транспортному протоколу что-то отдать клиентам твоего сервиса, лили пакеты будут отфильтрованы.

anonymous ()
Ответ на: комментарий от anonymous

* Исправления

Sync-flood победили в SCTP правда я понятия не имею можно ли по этому транспортному протоколу что-то отдать клиентам твоего сервиса, или пакеты будут отфильтрованы.

Расскажите кто нибудь про SCTP, он пригоден обычным людям и публичным сервисам?

anonymous ()
Ответ на: комментарий от anonymous

Идея, множество инстансов nginx и proxy_pass со всеми твиками ядра против ddos, или публичный клауд с тупыми сервисами которые только делают forward на твои сервера :)

anonymous ()
Ответ на: комментарий от gobot

Сколько я не пробовал на хостингах указывать левый src, пакет не доходил до адресата.

А как ты проверял, что он не доходит до адресата?

Например, у меня есть доверенные ip, которые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес и пролезть внутрь?

Нет, не может. Т.к. ответные пакеты придут не тому, кто отправил тебе пакет, а реальному владельцу IP-адреса. Все нормально.

Если так, то ведь это дичь, это какая то дыра в tcp/ip

Нет

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Вообще, можно посмотреть на TTL.

Кстати да. Хорошее замечание. Для ботнета будет различаться.

anc ★★★★★ ()
Ответ на: комментарий от gobot

Не может, сопляку ответ от тебя не прийдёт же.

stels ★★★ ()
Ответ на: комментарий от stels

Ну об этом я писал выше, что таких много. Но нельзя говорить «Почти ни кто из ISP». Кто-то делает, кто-то нет. Как фишка ляжет.
ЗЫ Сейчас проверил, мелкий пров из USA CA, не пропускает. Крупный at&t на стареньком adsl пропускает.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от CaveRat

А как ты проверял, что он не доходит до адресата?

Tcpdump смотрел(отправлял на свой сервер)

Нет, не может

Я не говорил про ответные пакеты. Факт того, что пакет прошел через фаер с фейкового ип - дыра

Нет

Да

gobot ★★★★ ()
Ответ на: комментарий от gobot

Я думаю этим должны занимать правоааахранитяльные органы

Если так, то ведь это дичь, это какая то дыра в tcp/ip

Факт того, что пакет прошел через фаер с фейкового ип - дыра

Да господи. А если атакующий в одном хопе от тебя и не может быть никакого шлюза и осмысленного «фаера», ты подумал о таком сценарии?

А если тебе рассказать, что можно записку подписать чужим именем, то ты тоже сначала возопишь про госрегулирование, потом потребуешь отмены выработки целлюлозы, а закончишь декларированием этого дырой в каллиграфии?

Выдыхай, система работает нормально, не курочь ее на неправильном уровне абстракции и не плоди «решений» уровня RFC 3514. Пусть правоохранительные органы лучше займутся твоими призывами к массовым беспорядкам.

t184256 ★★★★★ ()
Ответ на: комментарий от gobot

Я не говорил про ответные пакеты. Факт того, что пакет прошел через фаер с фейкового ип - дыра

Дыра в ком? В FW? Возможно (хотя и не обязательно).

Да

Вот объясни мне, каким образом тот факт, что можно при формировании пакета (а процесс формирования пакета - это задача ОС, спецификация протокола это никак не затрагивает) можно подставить произвольные значения в те или иные поля заголовка, является дырой в протоколе?

CaveRat ★★ ()
Ответ на: комментарий от t184256

атакующий в одном хопе от тебя и не может быть никакого шлюза и осмысленного «фаера», ты подумал о таком сценарии?

Глупый сценарий, в реальности такого не бывает

твоими призывами к массовым беспорядкам.

??

gobot ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.