--ホーム--
FreeBSD Security
|
"smurf" IP Denial-of-Service AttacksCERT Advisory CA-98.01で, smurf攻撃について述べられています.これは,
となったICMP echo replyパケットを出すことにより,攻撃対象に多量のパケッ トを送りつけてダウンさせます.ICM echo replyは,pingやtracerouteで用い られるもので,正しく使えば便利ですが,このように悪用されると悲惨なこと になります.攻撃対象および中継サイトのネットワークのパフォーマンスが著 しく悪化します. 決定的な対処方法は今のところ無く,ルーターでおかしなパケットが入ってき たり出ていったりしないようにするか,あるいはICMP echo replyそのものを 通らないようにするしかありません.しかし,それでも内部犯行は防ぐことが できません. FreeBSDバージョン2.2.5以降は,ブロードキャストアドレス宛のICMP echo replyパケットには応答しないようになっています(sysctlを用いれば応答する ようにすることも可能です). このようにCERT advisoryには記述されていますが,それにたいする訂正 がFreeBSD-SA-98:06として FreeBSD Inc.より報告されています. すべてのOSがブロードキャストアドレス宛のICMP echo replyに応答しないよ うになれば良いのですが,そうでないのでルーターでフィルタリングする程度 の対応しかありません.例えば,DECは防火壁と内部犯行の防止で対処すべき としています. |