福島の西郷村<にしごうむら> から甲子温泉<かしおんせん> にヒルクライムするついでに TOKIO が何か作るという TOKIO-BA をみてきた。
走行距離 109km 獲得標高 1355m
続きを読むLinux の sysctl net.ipv4. icmp_echo_ignore_broadcasts
と、 macOS / XNU の sysctl net.inet.icmp.bmcastecho
の実装を調べたエントリです
Linux の sysctl net.ipv4. icmp_echo_ignore_broadcasts
は CIS Benchmarks で Smurf 攻撃対策として取り上げられています。
Smurf 攻撃自体の説明は他のサイトで確認してください
SMURF攻撃とは、攻撃者が標的となるサーバーをInternet Control Message Protocol(ICMP)パケットで圧倒させようとする分散サービス妨害(DDoS)攻撃です。1つまたは複数のコンピューターネットワークに対して、標的のデバイスのスプーフィングIPアドレスでリクエストを行うことにより、コンピューターネットワークは標的サーバーに応答し、初期攻撃トラフィックを増幅し、潜在的に標的を圧倒し、アクセス不能にします。この攻撃ベクトルは一般に、解決された脆弱性と見なされており、もはや流行していません。
引用: https://www.cloudflare.com/ja-jp/learning/ddos/smurf-ddos-attack
sysctl net.ipv4. icmp_echo_ignore_broadcasts
あるいは /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
の説明を、Red Hat Cusotmer Portal から引用します。
icmp_echo_ignore_all 及び icmp_echo_ignore_broadcasts — 各ホストからの ICMP ECHO パケット、もしくはブロードキャスト及びマルチキャストのアドレスを起点とする ICMP ECHO パケットのみを無視することをそれぞれカーネルに許可します。0 の値は、カーネルによる応答を許可し、1 の値はパケットを無視します。
macOS ( XNU ) では、Linux と同様に機能する sysctl として sysctl net.inet.icmp.bmcastecho
が用意されています。なお、bmcastecho
は Broadcast Multicast Echo
の略称のようです。
Smurf 攻撃の sysctl の設定方法を取り扱った記事はたくさんありますが、実装 (= カーネルのソース) まで踏み込んでるエントリは無いようなので、調べて見ましょう。
macOS ( XNU ) のソースも調べてました
続きを読む