iptables para descartar ataques SYN e FIN

2

A partir de um relatório da Trustwave, estamos tentando definir nosso servidor para bloquear esse tipo de solicitação, mas depois de tentar várias combinações de regras, ainda podemos ver as portas.

Alguém poderia me dar uma dica ou o conjunto de regras necessárias para bloquear essa solicitação?

Estou usando nmap --scanflags SYN,FIN xxx.xxx.xxx.xxx para testar se o iptables está bloqueando ou não.

    
por shadow_of__soul 26.04.2011 / 21:45

4 respostas

2

Esta regra corresponderá se o sinalizador syn estiver definido

iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP

E este corresponderá para a bandeira FIN

iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST FIN -j DROP

observe que você precisará ajustar isso, já que a regra syn impedirá conexões TCP de entrada para o seu dispositivo, talvez definir a porta específica que você deseja bloquear?

    
por 26.04.2011 / 22:27
2

Eu uso algo para evitar este ataque SYN. Não tenho certeza se é um correto para o seu caso, mas você pode dar uma olhada. Eu conto pedidos por segundo e bloqueio IPs com mais de X (no meu caso 20) pedidos em 1 segundo. Funciona para mim.

iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j DROP
    
por 27.04.2011 / 00:02
1

Acesse meu Wiki da comunidade: Dicas e & iptables do iptables Truques

Especialmente a seguinte "resposta": Answer # 245713

Por favor, note que para o bloqueio ser eficaz, ele deve ser colocado em -t raw -A PREROUTING

    
por 27.04.2011 / 16:41
0

Existe um documento intitulado "Detectando e enganando varreduras de rede" na rede, que aborda isso com detalhes analíticos e encontra os parâmetros de bloqueio ideais.

    
por 02.05.2011 / 11:56