Security flag, Evil bit

Что: b68c5699185e1fc05bf32990fa75d35e73e66d02

Когда: 2023-06-15 12:40:28+03:00

Темы: bsd fun ipv6

Security flag, Evil bit

https://blog.benjojo.co.uk/post/evil-bit-RFC3514-real-world-usage
https://datatracker.ietf.org/doc/html/rfc3514
https://svnweb.freebsd.org/base?view=revision&revision=112929
В IPv4 заголовке был неиспользованный бит, который в RFC 3514 превратили
в Evil Bit. Все кто его видят желательно должны уничтожать такие пакеты.

Для IPv6 куда больше возможностей: evilness (в словаре не нашлось
русского слова для этого, а в немецком красиво звучащее Boshaftigkeit)
сопровождается либо hop-by-hop опцией (IPv6 расширенный заголовок) и
end-to-end онной. В обоих случаях указывается 128-бит сила злобы, и
128-бит идентификатор конкретной совершаемой атаки.

Linux уже известно (c90bc350818e72ab786ff46ad4aae4739ca98c8b) насколько
небезопасен, поэтому они так и не реализовывали "Security flag", в
отличии, конечно же, от FreeBSD, где есть sysctl настройки:

    This fulfills the host requirements for userland support by
    way of the setsockopt() IP_EVIL_INTENT message.

    There are three sysctl tunables provided to govern system behavior.

            net.inet.ip.rfc3514:

                    Enables support for rfc3514.  As this is an
                    Informational RFC and support is not yet widespread
                    this option is disabled by default.

            net.inet.ip.hear_no_evil

                     If set the host will discard all received evil packets.

            net.inet.ip.speak_no_evil

                    If set the host will discard all transmitted evil packets.

    The IP statistics counter 'ips_evil' (available via 'netstat') provides
    information on the number of 'evil' packets recieved.

    For reference, the '-E' option to 'ping' has been provided to demonstrate
    and test the implementation.

оставить комментарий

Сгенерирован: SGBlog 0.34.0