hallo,

folgende meldung häuft sich in letzter zeit in meinen logs:


kernel: DROP ICMP IN=eth0 OUT= MAC=00:c0:df:51:30:7b:00:04:ed:10:0d:14:08:00 SRC=195.230.51.250 DST=192.168.1.3 LEN=56 TOS=0x00 PREC=0x00 TTL=51 ID=24628 DF PROTO=ICMP TYPE=5 CODE=1 GATEWAY=195.230.51.251 [SRC=192.168.1.3 DST=195.230.51.251 LEN=52 TOS=0x00 PREC=0x00 TTL=50 ID=60814 DF PROTO=TCP INCOMPLETE [8 bytes] ]


(scheint n kleiner provider zu sein, atnet.at 195.230.51.x)

ich interpretiere das so, dass jmd. versucht, meinem rechner eine andere route (man in the middle ?) zu geben, was ich aber - paranoid wie ich bin :ugly: - nicht zulassen möchte.

meine frage - lieg ich mit meiner vermutung richtig, oder kann man redirects gefahrlos zulassen ?
(ich werte es bisher als angriff - das nervt echt)

danke,
matze

ps.: sonst blocke ich kein icmp (außer ping-request)

pss.: Das hier (http://www.network-secure.de/Netzwerk_Angriffe_ICMP_270902.) hab ich grad in diesem zusammenhang gefunden *lachweg*

ps.: sonst blocke ich kein icmp (außer ping-request)
Wieso verbietest du gerade den einfachen Ping ?

Vielleicht hilft dir ja folgende Seite --> http://www.paramind.de/dindoicm.htm

T;o)Mes

hi,

na ich lasse nur soviel zu wie notwendig :)
und ping-request auf mich bringt mir gar nichts bzw. halte ich für nicht notwendig bei meinem privaten 5-PC-Netz.

wollte halt nur wissen, ob mittels redirect ein man-in-the-middle angriff möglich ist (und ich es also zu recht blocke)...

gruß,
matze


ps.: @tomes - danke für die pn & url ;)

Original geschrieben von Matzetronic
meine frage - lieg ich mit meiner vermutung richtig, oder kann man redirects gefahrlos zulassen ?
(ich werte es bisher als angriff - das nervt echt)


ja, du liegst richtig. mit icmp-redirects kann man falsche routen in die routingtable einschleusen und den traffic über einen anderen host leiten.
icmp-redirects sind im grunde fehlermeldungen und deuten auf ein schlecht konfiguriertes netzwerk hin.
ein angriff ist es sicher nicht, eher eine fehlkonfiguration. wenn man das netz nicht kennt, von dem der redirect kommt, einfach rejecten.

-j

hallo,

eine kurze Beschreibung die den Hintergrund ganz gut trifft:

Die ICMP Nachricht Typ 5 Redirect ("Umleitung") weist den Empfänger an, seine Routingtabellen zugunsten einer kürzeren Route umzustellen. Wenn bei Ihnen routed oder gated läuft und Sie Redirect-Nachrichten akzeptieren, kann ein Black Hat Ihr System dazu bringen, daß es die angreifende Maschine für einen Teil Ihres LANs oder einen Rechner Ihres Internet-Providers hält. Im Extremfall wird Ihr Computer allen Internet-Traffic an einen anderen Computer weiterleiten.

Also ein Versuch, deinen Traffic umzuleiten um ihn dann sniffen zu können.

grüsse

hi,

also lag ich nicht völlig falsch mit der möglichkeit eines angriffs :)

was ich nur komisch finde, mein rechner scheint zuerst ein paket an die ip 195.230.51.251 zu schicken (DST=195.230.51.251), daraufhin kommt ein redirect von der ip 195.230.51.250, die mir als gateway die ip-adresse 195.230.51.251 gibt.
häh ? :confused:

matze

Original geschrieben von Matzetronic

was ich nur komisch finde, mein rechner scheint zuerst ein paket an die ip 195.230.51.251 zu schicken (DST=195.230.51.251), daraufhin kommt ein redirect von der ip 195.230.51.250, die mir als gateway die ip-adresse 195.230.51.251 gibt.


aus dem grund nehme ich an, dass es sich dabei nicht um einen angriff handelt sondern um ein schrottig konfiguriertes routing. denn wie du selbst festgestellt hast, macht der redirect keinen sinn.

-j