forum.opennet.ru

Составление сообщения

Исходное сообщение

"Перенаправление трафика (forwarding)"
Отправлено Licha Morada, 21-Апр-20 22:58

>> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с
>> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки
>> атаки IP spoofing, его мог зарезать кто угодно по дороге, и
>> правильно сделал.
> Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать
> между серверами что-то на подобии VPN?
Да, можно.
Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и маршрутизацию, то было бы проще научить его принимать пакеты с адресом отправителя фильтрующего сервера.
>> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как
>> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал
>> на то что он дойдёт до обычного сервера.
> Я являюсь полным владельцем физического сервера, исключение - провайдер сети.
Так и зарежет Spoofing атаку провайдер. Какой угодно из N между серверами.
>> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress
>> interface одна и та-же что и ingress interface, система норовит не
>> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда
>> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как
>> "дропается сетевой картой".
> Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу.
Если интересно, смотрите сниффером на трафик ICMP на фильтрующем сервере. К решению проблены это имеет весьма отдалённое отношение.
> Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального
> IP адреса сервера.
Чтобы не знал адрес какого сервера, "обычного"? Это бесполезно. По вашей схеме, если обычный сервер ответит клиенту помимо фильтрующего сервера, то в злоумышленник увидит его настоящий адрес в заголовках пакета. И вообще эффект Стрейзанд будет.
Публикуйте сервис для клиентов на вашем "фильтрующем сервере". Обычный сервер пусть принимает подключения от него и нечего не знает о конкретных клиентах.
Если критично различать клиентов по IP, то стройте оверлейную сеть. Пусть они подключаются к "фильтрующему серверу" по VPN, с приватными адресами и аутентификацией, а тот по VPN же будет перенаправлять траффик на приватный адрес обычного сервера. Как обратный прокси на периметере локалки.
Если критична задержка, ищите сервера поближе друг к другу и к клиентам. Жонглирование ассиметричными маршрутами с закосом на спуфинг вам только добавит проблем.

Исходное сообщение
"Перенаправление трафика (forwarding)" Отправлено Licha Morada, 21-Апр-20 22:58
>> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с >> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки >> атаки IP spoofing, его мог зарезать кто угодно по дороге, и >> правильно сделал. > Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать > между серверами что-то на подобии VPN? Да, можно. Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и маршрутизацию, то было бы проще научить его принимать пакеты с адресом отправителя фильтрующего сервера. >> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как >> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал >> на то что он дойдёт до обычного сервера. > Я являюсь полным владельцем физического сервера, исключение - провайдер сети. Так и зарежет Spoofing атаку провайдер. Какой угодно из N между серверами. >> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress >> interface одна и та-же что и ingress interface, система норовит не >> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда >> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как >> "дропается сетевой картой". > Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу. Если интересно, смотрите сниффером на трафик ICMP на фильтрующем сервере. К решению проблены это имеет весьма отдалённое отношение. > Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального > IP адреса сервера. Чтобы не знал адрес какого сервера, "обычного"? Это бесполезно. По вашей схеме, если обычный сервер ответит клиенту помимо фильтрующего сервера, то в злоумышленник увидит его настоящий адрес в заголовках пакета. И вообще эффект Стрейзанд будет. Публикуйте сервис для клиентов на вашем "фильтрующем сервере". Обычный сервер пусть принимает подключения от него и нечего не знает о конкретных клиентах. Если критично различать клиентов по IP, то стройте оверлейную сеть. Пусть они подключаются к "фильтрующему серверу" по VPN, с приватными адресами и аутентификацией, а тот по VPN же будет перенаправлять траффик на приватный адрес обычного сервера. Как обратный прокси на периметере локалки. Если критична задержка, ищите сервера поближе друг к другу и к клиентам. Жонглирование ассиметричными маршрутами с закосом на спуфинг вам только добавит проблем.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с 
>>> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки 
>>> атаки IP spoofing, его мог зарезать кто угодно по дороге, и 
>>> правильно сделал.
>> Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать 
>> между серверами что-то на подобии VPN?

> Да, можно.
> Но если у вас есть доступ на обычный сервер, чтобы настроить VPN 
> и маршрутизацию, то было бы проще научить его принимать пакеты с 
> адресом отправителя фильтрующего сервера.

>>> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как 
>>> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал 
>>> на то что он дойдёт до обычного сервера.
>> Я являюсь полным владельцем физического сервера, исключение - провайдер сети.

> Так и зарежет Spoofing атаку провайдер. Какой угодно из N между серверами.

>>> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress 
>>> interface одна и та-же что и ingress interface, система норовит не 
>>> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда 
>>> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как 
>>> "дропается сетевой картой".
>> Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу.

> Если интересно, смотрите сниффером на трафик ICMP на фильтрующем сервере. К решению 
> проблены это имеет весьма отдалённое отношение.

>> Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального 
>> IP адреса сервера.

> Чтобы не знал адрес какого сервера, "обычного"? Это бесполезно. По вашей схеме, 
> если обычный сервер ответит клиенту помимо фильтрующего сервера, то в злоумышленник 
> увидит его настоящий адрес в заголовках пакета. И вообще эффект Стрейзанд 
> будет.

> Публикуйте сервис для клиентов на вашем "фильтрующем сервере". Обычный сервер пусть принимает 
> подключения от него и нечего не знает о конкретных клиентах.
> Если критично различать клиентов по IP, то стройте оверлейную сеть. Пусть они 
> подключаются к "фильтрующему серверу" по VPN, с приватными адресами и аутентификацией, 
> а тот по VPN же будет перенаправлять траффик на приватный адрес 
> обычного сервера. Как обратный прокси на периметере локалки.
> Если критична задержка, ищите сервера поближе друг к другу и к клиентам. 
> Жонглирование ассиметричными маршрутами с закосом на спуфинг вам только добавит проблем.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру