Dando sequência a nossa discussão sobre o campo TTL, se o roteador, ao receber um pacote IP com TTL baixo (menor ou igual a 1), irá decrementar o campo e gerar uma mensagem de ICMP Time Exceed, isto abre uma brecha para ataques de negação de serviço baseados em TTL-expiry, visto que a geração destas respostas ICMP terão prioridade sobre o envio do tráfego normal da rede.
Como evitar o recebimento em excesso de pactes com tempo de vida muito curto ? Uma solução é criar uma Lista de Controle de Acesso (ACL) que bloqueie tais pacotes. A ACL abaixo bloqueia a entrada de pacotes num roteador de borda com TTL menor que 16:
!
ip access-list extended
ACL-BLOCK-LOW-TTL
deny ip any any ttl lt 16
permit ip any any
!
interface FastEthernet0
ip access-group ACL-BLOCK-LOW-TTL in
!
Como evitar o recebimento em excesso de pactes com tempo de vida muito curto ? Uma solução é criar uma Lista de Controle de Acesso (ACL) que bloqueie tais pacotes. A ACL abaixo bloqueia a entrada de pacotes num roteador de borda com TTL menor que 16:
!
ip access-list extended
ACL-BLOCK-LOW-TTL
deny ip any any ttl lt 16
permit ip any any
!
interface FastEthernet0
ip access-group ACL-BLOCK-LOW-TTL in
!
Para verificar se tivemos pacotes em excesso que foram negados pela ACL, podemos usar o comando abaixo:
Router#show access-lists
ACL-BLOCK-LOW-TTL
Extended IP access list
ACL-BLOCK-LOW-TTL
10 deny ip any any ttl lt 16 (3003 matches)
20 permit ip any any (2670 matches)
Router#
Como podemos notar, mais de 3000 pacotes com TTL baixo foram negados. Para saber mais sobre o assunto, consulte o site da Cisco na referência abaixo.
http://www.cisco.com/web/about/security/intelligence/ttl-expiry.html
Nenhum comentário:
Postar um comentário