forum.opennet.ru - "ICMP и заподлостроение. " (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ICMP и заподлостроение. "

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ICMP и заподлостроение. "
Сообщение от Fes (??) on 19-Янв-06, 16:17
Привет всем! Я тут так подумал... если у меня канал платный (по Mb), а у кого-то unlim, то запустив на сутки ping <my_ip> -s 10000 можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе можно ли средствами iptables рубать icmp пакеты больше определённого размера?
Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ICMP и заподлостроение. , .zZz., 16:34 , 19-Янв-06, (1)

ICMP и заподлостроение. , Fes, 17:21 , 19-Янв-06, (2)

ICMP и заподлостроение. , Аноним, 10:56 , 20-Янв-06, (5)

ICMP и заподлостроение. , .zZz., 11:10 , 20-Янв-06, (6)

ICMP и заподлостроение. , Fes, 11:22 , 20-Янв-06, (8)

ICMP и заподлостроение. , Junior, 10:58 , 23-Янв-06, (9)

ICMP и заподлостроение. , Junior, 07:23 , 01-Фев-06, (10)

ICMP и заподлостроение. , Fes, 11:18 , 20-Янв-06, (7)

ICMP и заподлостроение. , Pikador, 17:26 , 19-Янв-06, (3)

ICMP и заподлостроение. , Fes, 17:31 , 19-Янв-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "ICMP и заподлостроение. "

Сообщение от .zZz. (??) on 19-Янв-06, 16:34

>Привет всем!
>Я тут так подумал... если у меня канал платный (по Mb), а
>у кого-то unlim, то запустив на сутки
>ping <my_ip> -s 10000
>можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью
>отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе
>можно ли средствами iptables рубать icmp пакеты больше определённого размера?
а смысл?
через провайдера пакет прошёл - посчитался.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ICMP и заподлостроение. "

Сообщение от Fes (??) on 19-Янв-06, 17:21

>
>а смысл?
>через провайдера пакет прошёл - посчитался.
как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие - экономия исходящего траффика. а ваще-то всё ещё завист от того как построен билинг у прова. Да и вообще, вопрос был не о смысле, а о возможности этого. Я бы с удовольствием блокировал icmp пакеты больше 32 байт.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ICMP и заподлостроение. "

Сообщение от Аноним on 20-Янв-06, 10:56

>>
>>а смысл?
>>через провайдера пакет прошёл - посчитался.
>как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие
>- экономия исходящего траффика. а ваще-то всё ещё завист от того
>как построен билинг у прова. Да и вообще, вопрос был не
>о смысле, а о возможности этого. Я бы с удовольствием блокировал
>icmp пакеты больше 32 байт.

Исходящий icmp пакет (echo-reply) - бесплатный для тебя!

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ICMP и заподлостроение. "

Сообщение от .zZz. (??) on 20-Янв-06, 11:10

>>>
>>>а смысл?
>>>через провайдера пакет прошёл - посчитался.
>>как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие
>>- экономия исходящего траффика. а ваще-то всё ещё завист от того
>>как построен билинг у прова. Да и вообще, вопрос был не
>>о смысле, а о возможности этого. Я бы с удовольствием блокировал
>>icmp пакеты больше 32 байт.
>
>
>Исходящий icmp пакет (echo-reply) - бесплатный для тебя!
не поверишь - бесплатный ;)
и входящий мне - бесплатный ;)

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ICMP и заподлостроение. "

Сообщение от Fes (??) on 20-Янв-06, 11:22

>не поверишь - бесплатный ;)
>и входящий мне - бесплатный ;)
Ну, я за тебя рад :)
Как минимум можно канал загрузить. Развивая мысль и имея сеть bot'ов, можно попробовать нечто подобное на ICMP DDOS. Так как мало кто рубит ICMP. Посколько я не нашёл возможности ограничивать размер icmp пакета, воспользуюсь возможностью ограничения коннектов с одного IP.
p.s. Кстати, а как по вашему, насколько бредовым является слово ICMP-туннелинг?

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ICMP и заподлостроение. "

Сообщение от Junior (ok) on 23-Янв-06, 10:58

>p.s. Кстати, а как по вашему, насколько бредовым является слово ICMP-туннелинг?
Вообще-то это уже давным давно было сделано.
Была (есть) такая програмка, которая создавала такой туннель и могла по нему передавать данные, принимать их. Это годилось на тот случай, если резали весь свободный трафик, окромя icmp. Его резать - моветон.
Правда она работала под древними ядрами и проч... Завести её под
ядром 2.4 и 2.2 мне не удалось. Да и найти её оказалось довольно сложно - раритет. Название не вспомню сейчас, как припомню - напишу.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "ICMP и заподлостроение. "

Сообщение от Junior (ok) on 01-Фев-06, 07:23

> Название не вспомню сейчас, как припомню - напишу.
Вспомнил - loki или locki
Скорее всего в честь скандинавского бога любителя подшутить :)

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ICMP и заподлостроение. "

Сообщение от Fes (??) on 20-Янв-06, 11:18

>Исходящий icmp пакет (echo-reply) - бесплатный для тебя!
Откуда такая уверенность? Есть провайдеры, которые считают ВЕСЬ исходящий траффик.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ICMP и заподлостроение. "

Сообщение от Pikador (ok) on 19-Янв-06, 17:26

>Привет всем!
>Я тут так подумал... если у меня канал платный (по Mb), а
>у кого-то unlim, то запустив на сутки
>ping <my_ip> -s 10000
>можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью
>отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе
>можно ли средствами iptables рубать icmp пакеты больше определённого размера?

Пакеты большого размера будут фрагментироваться, в IPFW можно блокировать фрагментированные
deny log icmp from any to any frag

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ICMP и заподлостроение. "

Сообщение от Fes (??) on 19-Янв-06, 17:31

>Пакеты большого размера будут фрагментироваться, в IPFW можно блокировать фрагментированные
>
>deny log icmp from any to any frag
Спасибо, но я спрашивал об iptables. Кроме того, ИМХО, нельзя 100% гарантировать что пакет размером в 32 байта не будет разбит на несколько IP дейтаграмм.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ICMP и заподлостроение. "
Сообщение от .zZz. (??) on 19-Янв-06, 16:34
>Привет всем! >Я тут так подумал... если у меня канал платный (по Mb), а >у кого-то unlim, то запустив на сутки >ping <my_ip> -s 10000 >можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью >отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе >можно ли средствами iptables рубать icmp пакеты больше определённого размера? а смысл? через провайдера пакет прошёл - посчитался.
Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ICMP и заподлостроение. "
	Сообщение от Fes (??) on 19-Янв-06, 17:21
	> >а смысл? >через провайдера пакет прошёл - посчитался. как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие - экономия исходящего траффика. а ваще-то всё ещё завист от того как построен билинг у прова. Да и вообще, вопрос был не о смысле, а о возможности этого. Я бы с удовольствием блокировал icmp пакеты больше 32 байт.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ICMP и заподлостроение. "
	Сообщение от Аноним on 20-Янв-06, 10:56
	>> >>а смысл? >>через провайдера пакет прошёл - посчитался. >как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие >- экономия исходящего траффика. а ваще-то всё ещё завист от того >как построен билинг у прова. Да и вообще, вопрос был не >о смысле, а о возможности этого. Я бы с удовольствием блокировал >icmp пакеты больше 32 байт. Исходящий icmp пакет (echo-reply) - бесплатный для тебя!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ICMP и заподлостроение. "
	Сообщение от .zZz. (??) on 20-Янв-06, 11:10
	>>> >>>а смысл? >>>через провайдера пакет прошёл - посчитался. >>как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие >>- экономия исходящего траффика. а ваще-то всё ещё завист от того >>как построен билинг у прова. Да и вообще, вопрос был не >>о смысле, а о возможности этого. Я бы с удовольствием блокировал >>icmp пакеты больше 32 байт. > > >Исходящий icmp пакет (echo-reply) - бесплатный для тебя! не поверишь - бесплатный ;) и входящий мне - бесплатный ;)
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ICMP и заподлостроение. "
	Сообщение от Fes (??) on 20-Янв-06, 11:22
	>не поверишь - бесплатный ;) >и входящий мне - бесплатный ;) Ну, я за тебя рад :) Как минимум можно канал загрузить. Развивая мысль и имея сеть bot'ов, можно попробовать нечто подобное на ICMP DDOS. Так как мало кто рубит ICMP. Посколько я не нашёл возможности ограничивать размер icmp пакета, воспользуюсь возможностью ограничения коннектов с одного IP. p.s. Кстати, а как по вашему, насколько бредовым является слово ICMP-туннелинг?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ICMP и заподлостроение. "
	Сообщение от Junior (ok) on 23-Янв-06, 10:58
	>p.s. Кстати, а как по вашему, насколько бредовым является слово ICMP-туннелинг? Вообще-то это уже давным давно было сделано. Была (есть) такая програмка, которая создавала такой туннель и могла по нему передавать данные, принимать их. Это годилось на тот случай, если резали весь свободный трафик, окромя icmp. Его резать - моветон. Правда она работала под древними ядрами и проч... Завести её под ядром 2.4 и 2.2 мне не удалось. Да и найти её оказалось довольно сложно - раритет. Название не вспомню сейчас, как припомню - напишу.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "ICMP и заподлостроение. "
	Сообщение от Junior (ok) on 01-Фев-06, 07:23
	> Название не вспомню сейчас, как припомню - напишу. Вспомнил - loki или locki Скорее всего в честь скандинавского бога любителя подшутить :)
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ICMP и заподлостроение. "
	Сообщение от Fes (??) on 20-Янв-06, 11:18
	>Исходящий icmp пакет (echo-reply) - бесплатный для тебя! Откуда такая уверенность? Есть провайдеры, которые считают ВЕСЬ исходящий траффик.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "ICMP и заподлостроение. "
Сообщение от Pikador (ok) on 19-Янв-06, 17:26
>Привет всем! >Я тут так подумал... если у меня канал платный (по Mb), а >у кого-то unlim, то запустив на сутки >ping <my_ip> -s 10000 >можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью >отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе >можно ли средствами iptables рубать icmp пакеты больше определённого размера? Пакеты большого размера будут фрагментироваться, в IPFW можно блокировать фрагментированные deny log icmp from any to any frag
Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ICMP и заподлостроение. "
	Сообщение от Fes (??) on 19-Янв-06, 17:31
	>Пакеты большого размера будут фрагментироваться, в IPFW можно блокировать фрагментированные > >deny log icmp from any to any frag Спасибо, но я спрашивал об iptables. Кроме того, ИМХО, нельзя 100% гарантировать что пакет размером в 32 байта не будет разбит на несколько IP дейтаграмм.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]