1. 首頁
  2. 問答
  3. ip6tables設置阻止ipv6碎片

ip6tables設置阻止ipv6碎片

2014-05-23 34 views
0

是否有可能編寫ip6tables規則來阻止格式錯誤的ipv6碎片數據包。 這基本上是我們電器箱的ipv6認證。我們正在運行:RHEL 5.5和內核:2.6.18-238.1.1.el5ip6tables設置阻止ipv6碎片

我們目前正在失敗的測試:

1)碎片重組 - 片段ID不匹配應該給錯誤2)片段重新組裝 - 源地址不同片段之間3)分片重組 - 目的地地址衝突片段之間

任何其他的想法來解決這個也歡迎:)

來源

2014-05-23 Karthik S

+1

這個要求看起來很奇怪。 IPv6的一個主要優點是路由器不再(與IPv4相反)必須關心分片,而不是通知它是必要的。爲了實現您的目標,您的路由器需要實際完成片段組裝,因此需要有狀態的東西。 –

+0

同意。但是像TAHI(http://tahi.org)這樣的IPV6標識認證套件需要在接收第一幀的60秒內發送錯誤,當後續幀與上述三種情況中的任何一種混淆時。任何想法? –

+0

這是內核需要擔心的問題。嘗試更新您的系統;你幾年過時了。 –

回答

0

我們可以通過類似的snort工具解決這個問題。下面是安裝,配置和RHEL運行5.5

安裝必備

對於Snort的步​​驟,我們需要安裝以下軟件:

  • 柔性byacc野牛PCRE-devel的libdnet-devel的zlib的-devel

  • 我們可以從下載上面:

ftp://ftp.univie.ac.at/systems/linux/dag/redhat/el5/en/x86_64/buildtools/RPMS/flex-2.5.35-0.8.el5.rfb.x86_64.rpm

ftp://fr2.rpmfind.net/linux/centos/5.10/os/x86_64/CentOS/byacc-1.9-29.2.2.x86_64.rpm

http://vault.centos.org/5.5/os/x86_64/CentOS/zlib-devel-1.2.3-3.x86_64.rpm

http://vault.centos.org/5.5/os/x86_64/CentOS/bison-2.3-2.1.x86_64.rpm

http://vault.centos.org/5.5/os/x86_64/CentOS/pcre-devel-6.6-2.el5_1.7.x86_64.rpm

ftp://ftp.univie.ac.at/systems/linux/dag/redhat/el5/en/x86_64/dag/RPMS/libdnet-1.11-1.2.el5.rf.x86_64.rpm

http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS/libdnet-devel-1.11-1.2.el5.rf.x86_64.rpm

* Install the above said rpm in the below order: 
rpm -ivh flex-2.5.35-0.8.el5.rfb.x86_64.rpm 
rpm -ivh byacc-1.9-29.2.2.x86_64.rpm 
rpm -ivh zlib-devel-1.2.3-3.x86_64.rpm 
rpm -ivh bison-2.3-2.1.x86_64.rpm 
rpm -ivh pcre-devel-6.6-2.el5_1.7.x86_64.rpm 
rpm -ivh libdnet-1.11-1.2.el5.rf.x86_64.rpm 
rpm -ivh libdnet-devel-1.11-1.2.el5.rf.x86_64.rpm

下載所需SNORT & ALLIED圖書館

http://www.tcpdump.org/release/libpcap-1.5.3.tar.gz http://sourceforge.net/projects/snort.mirror/files/Snort%202.9.5.6/snort-2.9.5.6.tar.gz/download http://sourceforge.net/projects/snort.mirror/files/Snort%202.9.5.6/daq-2.0.1.tar.gz/download

[注:下面假定上述3被下載到/ opt/CSCOlumos/SNORT]

安裝LIBPCAP

cd/opt/C SCOlumos/SNORT

焦油-xf的libpcap-1.5.3.tar.gz

MV的libpcap-1.5.3的/ usr/local/src目錄/

CD的/ usr/local/src目錄/ libpcap- 1.5.3

。/配置前綴=/USR

使

使安裝

/sbin目錄/ LDCONFIG

INSTALL DAQ和SNORT

CD /選擇/ CSCOlumos/SNORT

tar -xf daq-2.0.1.tar.gz

cd daq-2.0.1

的./configure

CD OS-DAQ模塊

使

CD ..

使

使安裝

CD /選擇/ CSCOlumos/SNORT

焦油-xf哼了一聲,2.9.5.6.tar.gz

CD的snort-2.9.5.6

的./configure

使

make install的

固定libdnet庫問題

cp -rp /usr/lib/vmware-tools/lib32/libdnet.so.1/usr/local/lib/

/sbin目錄/ LDCONFIG

更新

的mkdir -p /無功/日誌/哼/

觸摸/無功/日誌/哼/警報

測試Snort的

snort --version

,, _ - > Snort! < - O」)〜版本2.9.5.6 GRE(建立208) '' '' 由馬丁·羅希& Snort的團隊:http://www.snort.org/snort/snort-team 版權所有(C)1998年至二○一三年的Sourcefire公司,等 使用libpcap的。 1.5.3版本使用 PCRE版本:6.6 06 - 2月 - 2006年 使用ZLIB版本:1.2.3

配置IPv6過濾器與運行

VI /選擇/測試/ SNORT /哼了一聲。CONF

預處理frag3_global:max_frags 65536

預處理frag3_engine:政策的Linux bind_to 2001 :: 99ed:d7c6:86f0:8e0a detect_anomalies

預處理frag3_engine:政策的Linux detect_anomalies

現在,作爲運行:

snort -c /opt/test/SNORT/SNORT.conf

注意:這裏2001 :: 99ed:d7c6:86f0:8e0a是eth0(通信接口)ipv6地址。

來源

2014-05-27 12:49:23

相關問題

 相關問題