28 de dez de 2009

Como evitar ataques TTL-Expiry

Dando sequência a nossa discussão sobre o campo TTL, se o roteador, ao receber um pacote IP com TTL baixo (menor ou igual a 1), irá decrementar o campo e gerar uma mensagem de ICMP Time Exceed, isto abre uma brecha para ataques de negação de serviço baseados em TTL-expiry, visto que a geração destas respostas ICMP terão prioridade sobre o envio do tráfego normal da rede.

Como evitar o recebimento em excesso de pactes com tempo de vida muito curto ? Uma solução é criar uma Lista de Controle de Acesso (ACL) que bloqueie tais pacotes. A ACL abaixo bloqueia a entrada de pacotes num roteador de borda com TTL menor que 16:

!
ip access-list extended

ACL-BLOCK-LOW-TTL
deny ip any any ttl lt 16
permit ip any any
!
interface FastEthernet0
ip access-group ACL-BLOCK-LOW-TTL in
!
Para verificar se tivemos pacotes em excesso que foram negados pela ACL, podemos usar o comando abaixo:

Router#show access-lists

ACL-BLOCK-LOW-TTL
Extended IP access list

ACL-BLOCK-LOW-TTL
10 deny ip any any ttl lt 16 (3003 matches)
20 permit ip any any (2670 matches)
Router#

Como podemos notar, mais de 3000 pacotes com TTL baixo foram negados. Para saber mais sobre o assunto, consulte o site da Cisco na referência abaixo.
Fonte:

http://www.cisco.com/web/about/security/intelligence/ttl-expiry.html

Nenhum comentário:

LinkWithin

Related Posts with Thumbnails