13 de jun de 2013

Seu provedor tem filtro antispoofing ? Teste !


O NIC.br criou um sistema simples, que ainda está em estágio experimental, para ajudá-lo a testar se seu provedor está aplicando corretamente os filtros antispoofing.

Passo 1: você precisa do hping3


Você pode fazer o teste à partir de qualquer computador, desde que este tenha o software hping3 instalado. O hping é um programa para ser executado na linha de comando, que funciona como um montador e analisador de pacotes TCP/IP. Isso quer dizer que você pode montar pacotes arbitrários com o programa, que suporta TCP, UDP, ICMP e RAW-IP. Entre outras coisas, você pode usá-lo para testar firewall, fazer port scanning, testar a rede usando diferentes protocolos, TOS, fragmentação, fazer manualmente a descoberta do MTU, etc.

O hping tem versões para Linux, MacOS e Windows, e pode ser baixado em:

http://www.hping.org/download.php

Passo 2: vamos ao teste!

Se você é um usuário doméstico, prefira fazer o teste com o computador conectado diretamente ao equipamento do provedor, recebendo diretamente o IP válido fornecido pelo mesmo. Equipamentos de compartilhamento de conexões (NAT) podem interferir com os resultados.

Comandos a serem executados (como root ou administrador) para testar:

hping3 --udp -e "200.255.122.24#200.255.122.24#FLTABLFBYDUNHVZFTOCZNEMBTSRTGO#MESMOIP" -c 1 -a 200.255.122.24 -p 3000 200.160.4.197
hping3 --udp -e "200.255.122.24#200.255.122.1#FLTABLFBYDUNHVZFTOCZNEMBTSRTGO#MESMAREDE" -c 1 -a 200.255.122.1 -p 3000 200.160.4.197
hping3 --udp -e "200.255.122.24#172.26.6.6#FLTABLFBYDUNHVZFTOCZNEMBTSRTGO#PRIVADO" -c 1 -a 172.26.6.6 -p 3000 200.160.4.197
hping3 --udp -e "200.255.122.24#200.160.6.66#FLTABLFBYDUNHVZFTOCZNEMBTSRTGO#OUTRAREDE" -c 1 -a 200.160.6.66 -p 3000 200.160.4.197

Após o teste, para verificar seu resultado: http://op.ceptro.br/cgi-bin/spoofing/mostra_resultado/?hash=FLTABLFBYDUNHVZFTOCZNEMBTSRTGO

Passo 3: entendendo os resultados

O teste envia quatro pacotes:
Um pacote válido, com a origem correta. É esperado que esse pacote chegue ao servidor do NIC.br.
Um pacote “spoofado”, com a origem num IP diferente do seu, mas na mesma rede.
Um pacote “spoofado”, com IP privado como origem.
Um pacote “spoofado”, com um IP válido, mas de uma rede diferente da sua, como origem.

Todos os pacotes são enviados para o endereço 200.160.4.197, que é o servidor de testes no NIC.br. Os pacotes “spoofados” só chegarão ao servidor do NIC.br se o provedor não tiver os filtros corretamente configurados.

Interpretando seus resultados:

Se o servidor do NIC.br não registrou nenhum pacote, o teste falhou. Não é possível dizer se há filtro antispoofing ou não. Talvez um firewall ou NAT no meio do caminho esteja interferindo.

Se houver uma linha onde o ”IP Origem Recebido” e o “IP Externo Detectado” são iguais, parabéns, o teste foi um sucesso. Se foi a única linha que você encontrou, seu provedor também está de parabéns: sua rede não permite spoofing!
Se houver também uma linha onde o “IP Origem Recebido” é diferente do “IP Externo Detectado”, mas eles estão na mesma rede, significa que é possível “spoofar” pacotes dessa forma, utilizando endereços diferentes do seu, porém na mesma rede de origem.

Se houver também uma linha onde o “IP Origem Recebido” é 172.26.6.6, significa que é possível “spoofar” pacotes dessa forma, com endereços privados como origem. Seu provedor precisa implantar o filtro de antispoofing.

Se houver também uma linha onde o “IP Origem Recebido” é 200.160.6.6, significa que é possível “spoofar” pacotes dessa forma, com endereços válidos de outra rede, como origem. Seu provedor precisa implantar o filtro de antispoofing!

Fonte: http://bcp.nic.br/seu-provedor-tem-filtro-antispoofing-teste/

Nenhum comentário:

LinkWithin

Related Posts with Thumbnails