sslug-teknik team mailing list archive

Thread
Date

Re: Source Route

To: sslug-teknik@xxxxxxxx
From: "Klavs Klavsen" <ktk@xxxxxxxxxxx>
Date: Tue, 3 Oct 2000 14:23:34 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm


Hej Nikolaj,

Hvis det er det jeg tror det er.. så er det en der har sendt en pakke til dig,
og angivet en source-routing..

source-routing, betyder at man beder den modtagne maskine om at svare, vha. en
bestemt ip.. dvs. en anden rute, end den normalt ville have gjort..

Hackere/crackere kan f.ex. bruge dette, hvis de spoofer.. så beder de din
maskine svare tilbage via en maskine hvor de kan sniffe pakkerne.. og det eneste
du finder i dine logs er den maskine som de spoofede sig som..

Source-routing bør naturligvis IKKE være tilladt.. - det var kun nødvendigt
dengang internettet var hullet som en si :-)

man slår det fra vha.

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

/Klavs

Jeg finder flg. fra en dmesg:

ICMP: 212.54.72.66: Source Route Failed.
ICMP: 212.54.72.66: Source Route Failed.

Det minder mig om noget med "drop source routed frames" i kernen, og det
har vist noget at gøre med at det kan bruges af crackere til at gøre sjove
ting i dit netværk. Er det sådan en jeg har haft besøg af (det er ikke
tilladt i kernen).

Mvh.
Nikolaj