Jump to content

IP ACL и фрагментированные пакеты

amper
 Share

Recommended Posts

amper

amper

Posted
Posted

Собираюсь брать L3 свич, однако в описании нашел такое ограничение:

"The 7300S Series Stackable Switch does not support IP ACL configuration for IP

packet fragments."

 

Насколько это серьезно и возможно ли это использовать для обхода ACL фильтров?

В каких случаях появляются фрагментированные пакеты?

Kuzmich

Kuzmich

Posted
Posted

Фрагментированные пакеты - нормальное явление, возникает в случае если MTU на промежуточном маршрутизаторе меньше, чем MTU на сетевом интерфейсе передающей стороны. Дальше действуют различные механизмы.

Также фрагментированные пакеты могут посылаться и в нормальном режиме (ping -s 16384 1.2.3.4 - это всегда фрагментированние пакеты).

 

У каждого фрагмента IP-пакета по-прежнему есть заголовок IP (адреса, TTL, TOS и т.д.), но с заголовками TCP, UDP и прочих протоколов более высокого уровня могут быть проблемы.

 

Железно будут работать ACL типа "никому низя на сервер 1.2.3.4", а вот ACL типа "никому низя на сервер 1.2.3.4 по протоколу TCP на порт 22" - срабатывать на "не-первые" фрагменты пакетов не будут.

 

Зная, что некий фильтр все врагментированные пакеты пропускает, можно:

 

а) состряпать собственный VPN-протокол, который будет жить исключительно поверх таких фрагментиков

б) DOS'ить сервера. Например - послать какому-нибудь серверу "десятый" фрагмент, и он будет довольно долго держать его в памяти, ожидая прихода первых девяти для сборки исходного пакета. Пара сотен "десятых" фрагментов, и сервак в глубоком ступоре... По идее, не должно работать для TCP-сервисов, но вполне можно использовать для атак по UDP и ICMP.

amper

amper

Posted
  • Author
Posted

А не может быть так, что увидев в заголовках некий флажок, свидетельствующий о том, что пакет фрагментирован - он по умолчанию его пропустит? Т.е. насколько железно суждение о том, что "никому низя на сервер 1.2.3.4" будет работать всегда? Или на этот счет есть некий стандарт и производители (в данном случае Netgear) его придерживаются?

 

Насчет VPN - в таком случае применять его надо с двух сторон?

nuclearcat

nuclearcat

Posted
Posted

Ну помоему это всего лишь значит, что firewall у него stateless, т.е. не хранит в памяти таблицу пакетов и "видит" только один пакет, не зная историю всего соединения.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.