Estou atualmente trabalhando em um trabalho universitário. Estou aprendendo sobre firewalls e preciso configurar o IPTables em uma máquina Ubuntu para evitar um ataque de inundação TCP SYN .
Eu entendo que esse tipo de ataque consiste em enviar a um servidor um grande número de solicitações SYN sem depois seguir com um ACK após sua resposta SYN-ACK, resultando na espera do servidor e, portanto, desperdiçando seus recursos.
Procurando na Internet, encontrei esta regra do IPTables em vários sites:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Não consigo entender como essa entrada deve impedir o ataque. Estou interpretando como "Solte qualquer nova conexão TCP sem uma sinalização SYN". Estou perdendo alguma coisa?
Essa regra do iptables não impedirá ataques de inundação SYN. Como você diz, ele irá remover qualquer novo pacote TCP não-SYN. Ele aceitará apenas novas conexões TCP, que incluem um pacote SYN.
Para evitar ataques de inundação SYN usando iptables, você precisaria empregar a limitação de taxa.
Synflood é uma técnica tão antiquada como winnuke. O kernel Linux inclui sua própria proteção (net.ipv4.tcp_syncookies) desde 1999 (!), Então seu único trabalho é habilitá-lo com sysctl - mas este é o padrão por um longo tempo.
sysctl net.ipv4.tcp_syncookies=1
Tags iptables tcp denial-of-service