[Tech] script-iptables
Marco Ermini
markoer@usa.net
Lun 18 Ago 2003 15:17:44 CEST
Aldo Podavini disse:
[...]
> Vorrei fare una domanda:
> come diavolo fa ad arrivare dalla connessione ADSL un pacchetto con l'IP
> sorgente spoofato ?!?
> Voglio dire: dietro la connessione ADSL ci sta un ISP; come accidenti fa
> a lasciar passare un pacchetto che ha IP sorgente 192.168.140.67 ?!?
> Ancora prima: il pacchetto dovrebbe avere una sorgente certificata ad
> ogni passaggio, figuriamoci un IP non routabile !
[...]
Dico "le mie" da 5 centesimi...
1) portsentry (o qualsiasi altro programma simile) non puo' certo
individuare l'origine originaria :-P di un IP "spoofato" (che schifo di
parola!...). Effettivamente, in ambito IPv4 non puo' farlo proprio nulla e
nessuno. Portsentry puo' rilevare pero' il tentativo di port scanning.
Portsentry non individua gli spoofing (questo deve essere il compito del
firewall) ma individua gli scan. I due software sono complementari e
necessari l'un l'altro.
2) e' possibile che il sorgente dello spoofing sia *realmente* una
macchina con indirizzo 192.168.xx.xx. E' un indirizzo che non e' routabile
"pubblicamente", ma l'ADSL viaggia su un protocollo PPPoE, e quindi
l'indirizzo del router peer della connessione e' un IP privato. Per
esempio, con l'ADSL Alice, l'indirizzo peer del router e' 192.168.100.1,
quindi se usi Alice, grazie alle evolute caratteristiche di secutiry
fornite da Telecom Italia ;-) un qualsiasi altro utente ADSL puo'
"spoofare" tranquillamente tutti gli altri utenti... un po' come avviene
in quell'altra grande congrega di uber-geek che e' fastweb ;-)
3) In un header IPv4 c'e' un indirizzo sorgente ed uno destinazione.
Ammesso che quello sorgente abbia almeno un qualche senso, il routing con
tutti i suoi protocolli annessi viene effettuato sull'indirizzo di
destinazione, non quello sorgente. Tu puoi benissimo formare un raw header
TCP con un indirizzo sorgente fasullo, ed il pacchetto puo' arrivare
benissimo a destinazione (casomai, l'"inviante" non ricevera' mai una
risposta...)
ciao
--
Marco Ermini
http://macchi.markoer.org
Maggiori informazioni sulla lista
flug-tech