Назад | Перейти на главную страницу

Что мешает злоумышленнику использовать сервер с поддержкой ip_forwarded в качестве маршрутизатора

Настройка / вопрос

Учитывая сервер в общедоступном Интернете с IP 185.48.117.176 с участием /proc/sys/net/ipv4/ip_forward=1 и никаких правил iptable.

Что мешает злоумышленнику,

  1. прямо или
  2. косвенно (через другой роутер)

подключился к Интернету, используя мой сервер в качестве маршрутизатора?

(Я знаю, что без надлежащей маскировки он будет бесполезен, поскольку репозитории не будут перенаправлены обратно, однако его все равно можно использовать для атак UDP-лавинной рассылки, где пакет ответа в любом случае не ожидается.)

Что пробовал:

Я пытался добавить маршрут (на моем клиенте / машине злоумышленника)

route add 0.0.0.0 gw 185.48.117.176

после того, как я добавил "поддельный ip интерфейса"

ip address add dev wlan0 scope link 185.48.117.176

чтобы предотвратить SIOCADDRT: Network is unreachable сообщение об ошибке. Затем я удалил "поддельный ip интерфейса", чтобы маршрут остался.

Однако я все еще не могу использовать сервер в качестве маршрута, так как туда не приходят пакеты (я пытался захватить пакеты ICMP с помощью tcpdump).

По состоянию на эта почта по проблеме с докером, похоже, это связано с тем, поддерживает ли сеть переключение уровня 2.

Почему это? Что мне не хватает?

Пакет не может быть адресован одновременно этой машине и жертве. Если адресовано жертве, оно не пойдет на эту машину. Если адресовано этому компьютеру, оно не будет переадресовано, поскольку достигло места назначения.

Строго говоря, пакет может быть адресован к машине, а затем к месту назначения - это называется исходная маршрутизация. Но такие запросы не выполняются, если машина неправильно сконфигурирована.

Из @MarkoPolo (комментарии):

Ваше устройство отправит ARP-запрос (широковещательный), пытаясь получить MAC-адрес уровня 2, связанный с 185.48.117.176. Поскольку никакие интерфейсы физически не подключены к 185.48.117.176, ответ ARP не будет возвращен.

И чтобы физически достичь своей цели (185.48.117.176) вам необходимо отправить пакет на устройство, физически подключенное к 185.48.117.176 к устройству, физически подключенному к нему, и так далее.

Теоретически вы можете, например, создать пакет Ethernet с поддельным MAC-адресом вашего маршрутизатора (для ответа на случай 2. indirectly (through another router)), и он направит пакет в общедоступную сеть, что нормально, потому что так работает маршрутизация.

В какую сеть вы пытаетесь добраться / внедрить пакет?

  • Если это был какой-либо адрес из RFC 1918, ни один общедоступный маршрутизатор не направит его, потому что где должна быть такая частная сеть?
  • Если это была общедоступная сеть, она в любом случае доступна для всех.

Таким образом, имеет смысл пытаться внедрить пакет в частную сеть, только если вы физически подключены к маршрутизатору, физически подключенному к частной сети.
И о физическом подключении не могло быть и речи, тогда вам, конечно, нужна соответствующая фильтрация.

РЕДАКТИРОВАТЬ:

Иметь ввиду:
Если злоумышленник - ваш интернет-провайдер / контролирует устройства от интернет-провайдера, подключенный к маршрутизатору / центру обработки данных, он может получать пакеты в вашу сеть. Если у вас включен NAT, вы можете общаться с устройствами в частной сети.

В таком случае не забудьте настроить правильную фильтрацию.