sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #28202
Re: Source Route
Hej Nikolaj,
Hvis det er det jeg tror det er.. så er det en der har sendt en pakke til dig,
og angivet en source-routing..
source-routing, betyder at man beder den modtagne maskine om at svare, vha. en
bestemt ip.. dvs. en anden rute, end den normalt ville have gjort..
Hackere/crackere kan f.ex. bruge dette, hvis de spoofer.. så beder de din
maskine svare tilbage via en maskine hvor de kan sniffe pakkerne.. og det eneste
du finder i dine logs er den maskine som de spoofede sig som..
Source-routing bør naturligvis IKKE være tilladt.. - det var kun nødvendigt
dengang internettet var hullet som en si :-)
man slår det fra vha.
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
/Klavs
Jeg finder flg. fra en dmesg:
ICMP: 212.54.72.66: Source Route Failed.
ICMP: 212.54.72.66: Source Route Failed.
Det minder mig om noget med "drop source routed frames" i kernen, og det
har vist noget at gøre med at det kan bruges af crackere til at gøre sjove
ting i dit netværk. Er det sådan en jeg har haft besøg af (det er ikke
tilladt i kernen).
Mvh.
Nikolaj