Что: b68c5699185e1fc05bf32990fa75d35e73e66d02
Когда: 2023-06-15 12:40:28+03:00
Темы: bsd fun ipv6
Security flag, Evil bit https://blog.benjojo.co.uk/post/evil-bit-RFC3514-real-world-usage https://datatracker.ietf.org/doc/html/rfc3514 https://svnweb.freebsd.org/base?view=revision&revision=112929 В IPv4 заголовке был неиспользованный бит, который в RFC 3514 превратили в Evil Bit. Все кто его видят желательно должны уничтожать такие пакеты. Для IPv6 куда больше возможностей: evilness (в словаре не нашлось русского слова для этого, а в немецком красиво звучащее Boshaftigkeit) сопровождается либо hop-by-hop опцией (IPv6 расширенный заголовок) и end-to-end онной. В обоих случаях указывается 128-бит сила злобы, и 128-бит идентификатор конкретной совершаемой атаки. Linux уже известно (c90bc350818e72ab786ff46ad4aae4739ca98c8b) насколько небезопасен, поэтому они так и не реализовывали "Security flag", в отличии, конечно же, от FreeBSD, где есть sysctl настройки: This fulfills the host requirements for userland support by way of the setsockopt() IP_EVIL_INTENT message. There are three sysctl tunables provided to govern system behavior. net.inet.ip.rfc3514: Enables support for rfc3514. As this is an Informational RFC and support is not yet widespread this option is disabled by default. net.inet.ip.hear_no_evil If set the host will discard all received evil packets. net.inet.ip.speak_no_evil If set the host will discard all transmitted evil packets. The IP statistics counter 'ips_evil' (available via 'netstat') provides information on the number of 'evil' packets recieved. For reference, the '-E' option to 'ping' has been provided to demonstrate and test the implementation.
Сгенерирован: SGBlog 0.34.0