RTシリーズのIPパケット・フィルタに関するFAQ
smurf攻撃に対処するフィルタを教えて下さい。
新規作成日 | 1998/Jun/29 |
最終変更日 | 2022/Dec/28 |
文書サイズ | 8.3KB |
smurf攻撃に対処するフィルタを教えて下さい。
smurf attack(攻撃)から133.176.200.0/24のネットワーク機器を守る場合、 「ネットワークアドレス+オール0…network address」と 「ネットワークアドレス+オール1…directed broadcast address」を塞ぐ、 以下のようなフィルタで守ることができるでしょう。
↓ … smurf攻撃 : : ISDN回線,専用線 : +------------+ | RTシリーズ | ←smurf攻撃の防御措置が必要 +-----+------+ | 133.176.200.0/24 ------+-------+-----------+-----------+--------------- | | | +---+---+ +---+---+ +---+---+ | 端 末 | | 端 末 | | 端 末 | +-------+ +-------+ +-------+ |
ファームウェアをRev.3.00.30以降(RTA50iはRev.3.03.34以降)にリビジョンアップして、
と設定してください。
ip filter directed-broadcast on
[ IPパケットフィルタによるsmurf攻撃対策用設定例 ]
ip filter 21 reject * 133.176.200.0 * * * ip filter 22 reject * 133.176.200.255 * * * ip filter 23 pass * * icmp * * pp select N ip pp secure filter in .... 21 22 23 ....... |
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 100 |
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 61 62 63 100 |
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 70 reject * 133.176.200.0/24 * * * ip filter 71 reject * 10.0.0.0/8 * * * ip filter 72 reject * 172.16.0.0/12 * * * ip filter 73 reject * 192.168.0.0/16 * * * ip filter 99 pass 133.176.200.0/24 * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 61 62 63 100 ip pp secure filter out 70 71 72 73 99 |
[ トラブル対策 ]
Rev.3.00.23〜28では、ip filter directed-broadcastが
機能しておりません。
Rev.3.00.30以降にリビジョンアップしてください。
[ 関連情報 ]
[ 関連リリースノート ]
[ 関連RFC ]
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]