福島の西郷村<にしごうむら> から甲子温泉<かしおんせん> にヒルクライムするついでに TOKIO が何か作るという TOKIO-BA をみてきた。

走行距離 109km 獲得標高 1355m

国道400号線で塩原を越えて、会津鬼怒川線沿いに南下して鬼怒川を走ってきた

お腹を空かせて走り続けたので 写真撮影もほどほどで辛いライドだった

走行距離 108km 獲得標高 998m

Linux の sysctl net.ipv4. icmp_echo_ignore_broadcasts と、 macOS / XNU の sysctl net.inet.icmp.bmcastecho の実装を調べたエントリです

何の sysctl ですか?

Linux の sysctl net.ipv4. icmp_echo_ignore_broadcasts は CIS Benchmarks で Smurf 攻撃対策として取り上げられています。

www.cisecurity.org

Smurf 攻撃とは何ですか?

Smurf 攻撃自体の説明は他のサイトで確認してください

ja.wikipedia.org

SMURF攻撃とは、攻撃者が標的となるサーバーをInternet Control Message Protocol（ICMP）パケットで圧倒させようとする分散サービス妨害（DDoS）攻撃です。1つまたは複数のコンピューターネットワークに対して、標的のデバイスのスプーフィングIPアドレスでリクエストを行うことにより、コンピューターネットワークは標的サーバーに応答し、初期攻撃トラフィックを増幅し、潜在的に標的を圧倒し、アクセス不能にします。この攻撃ベクトルは一般に、解決された脆弱性と見なされており、もはや流行していません。

引用: https://www.cloudflare.com/ja-jp/learning/ddos/smurf-ddos-attack

sysctl net.ipv4. icmp_echo_ignore_broadcasts の詳細

sysctl net.ipv4. icmp_echo_ignore_broadcasts あるいは /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts の説明を、Red Hat Cusotmer Portal から引用します。

icmp_echo_ignore_all 及び icmp_echo_ignore_broadcasts — 各ホストからの ICMP ECHO パケット、もしくはブロードキャスト及びマルチキャストのアドレスを起点とする ICMP ECHO パケットのみを無視することをそれぞれカーネルに許可します。0 の値は、カーネルによる応答を許可し、1 の値はパケットを無視します。

引用: https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/deployment_guide/s2-proc-dir-sys

macOS / XNU にも同様の sysctl 設定はあるのか?

macOS ( XNU ) では、Linux と同様に機能する sysctl として sysctl net.inet.icmp.bmcastecho が用意されています。なお、bmcastecho は Broadcast Multicast Echo の略称のようです。

sysctl の実装を読もう

Smurf 攻撃の sysctl の設定方法を取り扱った記事はたくさんありますが、実装 (= カーネルのソース) まで踏み込んでるエントリは無いようなので、調べて見ましょう。

macOS ( XNU ) のソースも調べてました

hiboma.hatenadiary.jp

このエントリの続きです。

このエントリの内容

macOS のカーネル ( XNU ) をソースで sysctl net.local.stream.sendspace の周辺のコードを眺める内容です。

注

私はBSD系のカーネルに馴染みがないので、手探りで調べつつ内容を書き記した内容になります。詳細・正確な記述・説明を読みたい場合は、別のサイトや文献を当たってください。