Existe-t-il une règle simple que l'on peut écrire pour arrêter un ping o' death avec iptables ?
Réponse
Trop de publicités?
La plupart des systèmes d'exploitation modernes sont immunisés contre l'attaque "ping-of-death". Extrait du HOWTO IPCHAINS ( http://www.linux.org/docs/ldp/howto/IPCHAINS-HOWTO-5.html ):
5.3 Filtrer le Ping de la mort
Les boîtes Linux sont maintenant immunisées contre la célèbre Ping of Death, qui consiste à l'envoi d'un paquet ICMP de taille illégale qui déborde les tampons dans la pile TCP du récepteur et provoque des des ravages.
Si vous protégez des boîtes qui pourraient être vulnérables, vous pourriez simplement bloquer les fragments ICMP. Les paquets ICMP normaux normaux ne sont pas assez gros pour nécessiter des fragmentation, donc vous ne casserez rien vous ne casserez rien, sauf les gros pings. J'ai entendu des rapports (non confirmés) selon lesquels certains systèmes ne nécessitaient que le dernier fragment d'un paquet ICMP surdimensionné pour les pour les corrompre, donc bloquer uniquement le premier fragment n'est pas recommandé.
Vous pouvez supprimer les fragments icmp avec quelque chose comme ceci :
iptables -A FORWARD -p icmp -f -j DROPMais encore une fois, à moins que vous n'essayiez de protéger un équipement très ancien, tout ceci est probablement inutile.
