[Ninux-Wireless] [ninux-roma] Attacchi DoS in olsrd Was: "Malfunzionamento" a Gallia

Alessio nolith a abisso.org
Lun 26 Maggio 2014 08:52:52 UTC


On 25/05/2014 20:27, Saverio Proto wrote:
> Soluzioni:
> 1) Se riesci col tuo metodo a capire da dove partono i pacchetti
> spoofati bisogna isolare fisicamente il nodo attaccante.
> 2) Bisogna in generale creare domini IGP piu piccoli. Non dico di
> arrivare come fanno i greci dove ogni nodo è un AS separato, ma
> potremmo fare delle frontiere dove si parla BGP in modo da limitare il
> dominio nel quale un attaccante può operare.


Questo è interessante:
il punto 1 richiede o intervento manuale, nel senso che si avvisa il
dirimpettaio del nodo attaccante e gli si chiede di tirare giù il link.
Però:
* potrebbe portare ad abusi
* è un processo manuale, sia nella detection della minaccia che nella
risoluzione
* poiché la rete è aperta l'attaccante gira l'antenna e ricomincia
* non ci mette al riparo da uno *veramente motivato a creare problemi*
che potrebbe andare in giro con un nodo a batteria e attaccare da punti
diversi
* e se sul link insistono più client? si fa un filtro a livello MAC?
Troppo semplice da bypassare

Soluzione 2
Ha il vantaggio di circoscrivere il disservizio alla zona IGP di
provenienza dell'attaccante (isola di quartiere)
Però:
* Il costo computazionale e di gestione cresce notevolmente anche in
assenza di una vera minaccia (nel senso che lo devi fare upfront)
* i possessori dei nodi BPG diventano dei landlord in grado di
controllare tutto il traffico fra isole di quartiere


nolith


Maggiori informazioni sulla lista Wireless