Что мешает злоумышленнику использовать сервер с поддержкой ip_forwarded в качестве маршрутизатора
Настройка / Вопрос
Для сервера в общедоступном Интернете с IP 185.48.117.176 с / proc / sys / net / ipv4 / ip_forward = 1 и никаких правил iptable.
Что мешает злоумышленнику, который
- прямо или
- косвенно (через другой маршрутизатор)
подключен к Интернету, от использования моего сервера в качестве своего маршрутизатора?
(Я знаете, без надлежащего маскарадинга он бесполезен, поскольку репозоны не будут перенаправлены обратно, однако его все равно можно использовать для атак UDP-лавинной рассылки, где пакет ответа в любом случае не ожидается.)
Что я пробовал:
I пытался добавить маршрут (на моем клиенте / машине злоумышленника)
route add 0.0.0.0 gw 185.48.117.176
после того, как я добавил «поддельный ip интерфейса»
ip address add dev wlan0 scope link 185.48.117.176
, чтобы предотвратить сообщение об ошибке SIOCADDRT: Сеть недоступна .
Затем я удалил «поддельный ip интерфейса», чтобы маршрут остался.
Однако я все еще не могу использовать сервер в качестве маршрута, поскольку туда не приходят пакеты (я пытался захватить пакеты ICMP с помощью tcpdump).
Что касается этого сообщения о проблеме с докером, похоже, это связано с тем, поддерживает ли сеть коммутацию уровня 2.
Почему это? Что мне не хватает?
Ваше устройство отправит запрос ARP (широковещательный), пытаясь получить MAC-адрес уровня 2, связанный с 185.48.117.176 . Поскольку никакие интерфейсы физически не подключены к 185.48.117.176, ответ ARP не будет возвращен
И для физического достижения вашей цели ( 185.48.117.176 ) вам необходимо отправить пакет на устройство, физически подключенное к ] 185.48.117.176 к устройству, физически подключенному к нему, и т. Д.
Теоретически вы можете, например, создать пакет Ethernet с поддельным MAC-адресом вашего маршрутизатора (для ответа на случай 2. косвенно (через другой маршрутизатор) ), и он направит пакет в общедоступную сеть, что нормально, потому что так работает маршрутизация.
В какую сеть вы пытаетесь подключиться / внедрить пакет?
- Если это был любой из адресов RFC 1918, ни один общедоступный маршрутизатор не будет маршрутизировать его, потому что где должна быть такая частная сеть?
- Если это была общедоступная сеть, она в любом случае общедоступна
Так что имеет смысл только попробовать для внедрения пакета в частную сеть, если вы физически подключены к маршрутизатору, физически подключенному к частной сети. [1137 109] И о физическом подключении не могло быть и речи, тогда вам, конечно, понадобится надлежащая фильтрация.
РЕДАКТИРОВАТЬ:
Имейте в виду:
Если злоумышленник является вашим интернет-провайдером / контролирует устройства от провайдера, подключенного к маршрутизатору / центру обработки данных, он может получать пакеты в вашей сети. Если у вас включен NAT, вы можете связываться с устройствами в частной сети.
Если это так, помните, что нужно настроить надлежащую фильтрацию.
E Paket kann net un déi Maschinn adresséiert ginn an och un d'Affer. Wann et dem Affer adresséiert ass, geet et net op dës Maschinn. Wann op dës Maschinn adresséiert ass, gëtt se net weidergeleet well se hir Destinatioun erreecht huet.
Streng gesi kann e Paket adresséiert ginn fir op eng Maschinn ze goen an duerno op eng Destinatioun - dat nennt een Quellrouting . Awer sou Ufroe ginn net geéiert wann d'Maschinn schlecht falsch konfiguréiert ass.