On 25/05/2014 20:27, Saverio Proto wrote: > Soluzioni: > 1) Se riesci col tuo metodo a capire da dove partono i pacchetti > spoofati bisogna isolare fisicamente il nodo attaccante. > 2) Bisogna in generale creare domini IGP piu piccoli. Non dico di > arrivare come fanno i greci dove ogni nodo è un AS separato, ma > potremmo fare delle frontiere dove si parla BGP in modo da limitare il > dominio nel quale un attaccante può operare.
Questo è interessante: il punto 1 richiede o intervento manuale, nel senso che si avvisa il dirimpettaio del nodo attaccante e gli si chiede di tirare giù il link. Però: * potrebbe portare ad abusi * è un processo manuale, sia nella detection della minaccia che nella risoluzione * poiché la rete è aperta l'attaccante gira l'antenna e ricomincia * non ci mette al riparo da uno *veramente motivato a creare problemi* che potrebbe andare in giro con un nodo a batteria e attaccare da punti diversi * e se sul link insistono più client? si fa un filtro a livello MAC? Troppo semplice da bypassare Soluzione 2 Ha il vantaggio di circoscrivere il disservizio alla zona IGP di provenienza dell'attaccante (isola di quartiere) Però: * Il costo computazionale e di gestione cresce notevolmente anche in assenza di una vera minaccia (nel senso che lo devi fare upfront) * i possessori dei nodi BPG diventano dei landlord in grado di controllare tutto il traffico fra isole di quartiere nolith _______________________________________________ Wireless mailing list [email protected] http://ml.ninux.org/mailman/listinfo/wireless
