Skocz do zawartości

Firewall , Syn_flood


mythbuster

Rekomendowane odpowiedzi

Witam.

Mam taki mały problem. Jest pewien serwer CS:S, który jest postawiony na Fedora Core 7.0 .Dostałem zadanie, aby napisać skrypt firewall z uwzględnieniem blokowania syn_flooda, ponieważ były ataki, które wykorzystywały tę lukę i prowadziły do zawieszenia serwera. Sam zbytnio nie wiem o co chodzi, chciałem się was poradzić. Z czym to się je? Da się to zrobić w kilka minut, czy trzeba spędzić na tym parę godzin? Trzeba pisać od nowa cały skrypt firewall, czy może są jakieś gotowe, które blokują to floodowanie?

 

edit

No i sory, za zły dział :(

Odnośnik do komentarza
Udostępnij na innych stronach

Da się to zrobić w kilka minut, czy trzeba spędzić na tym parę godzin?
Jak chcesz "na małpę" to na pewno znajdziesz gdzieś w googlach gotowe regułki do dopisania. Jak chcesz wiedzieć cos więcej i napisać naprawdę porządny FW, to raczej kilka godzin. Tym bardziej, że z tego co piszesz wnioskuję, że z iptables to nie miałeś zbyt wiele do czynienia.

 

A tak poza tym, to obowiązuje zasada, że się najpierw samemu szuka w Googlach i innych dostępnych źródłach. A znaleźć można dużo → http://www.google.pl/search?q=iptables+syn...trict&cad=7 np. gotowce ;)

Odnośnik do komentarza
Udostępnij na innych stronach

Sory, ale nie za bardzo wiedziałem jak się zabrać za szukanie, teraz jest sporo łatwiej ;) Hmm... większość tych stron jak poprzeglądałem to ludzie mówią, że mają jakiś problem z firewallem i wklejają te skrypty. I do Fedory jest tam znikoma ilość. Znajduję np. temat Ochrona przed synflooding, ale nie ma tam nigdzie napisane do jakiej to dystrybucji :/ np to: http://forum-pl.hakin9.org/index.php?topic=71.0 może się to zdać do czegokolwiek? czy raczej takie domowe pisane na forach na nic się zdadzą na serwerze?

Tutaj mam też jakiś gotowy skrypt: http://gorzow-wlkp.pl/linux/dodatkowe/firewall.txt ale nie wiem do jakiej dystrybucji on jest napisany, nie ma tam nigdzie takiej informacji podanej. Czy moze to nie ma roznicy?

Odnośnik do komentarza
Udostępnij na innych stronach

I do Fedory jest tam znikoma ilość.
iptables działają tak samo. Różnica tylko taka, że w niektórych dystrybucjach odpalają to skryptem np. rc.firewall a w Fedorze reguły wpisujesz do pliku tekstowego o takiej samej nazwie jak program → /etc/sysconfig/iptables. Potem startujesz serwis iptables na wymaganych poziomach uruchomienia systemu (zazwyczaj 3,5 czasem jeszcze 2).

 

Odnośnik do komentarza
Udostępnij na innych stronach

  • 3 weeks later...

Do synflooda wystarczy ustawić odpowiednią wartość syncookies (obsługiwana od dość dawna w kernelu)

sysctl -w net.ipv4.tcp_syncookies=1

(na stałe najlepiej ustawić w pliku /etc/sysctl.conf), bądź

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

 

No i do firewalla dobrze jest dodać odpowiednie regułki na nieprawidłowe flagi tcp (opcja --tcp-flags). Uprzedzam, że samo blokowanie synflooda przez ustawienie

iptables -A INPUT -p tcp -m tcp --syn -j DROP

niewiele pomoże, jako że wystarczy wysłać flagę SYN z jakąś inną flagą (np SYN,RST) i już iptables tego nie złapie. Dlatego trzeba się pobawić np. wiresharkiem i przeanalizować co jakie flagi wysyła, jakie odbiera i jakie inne kombinacje można zablokować. Podstawowa sekwencja wygląda SYN → SYN,ACK → ACK (ciebie tu interesuje przychodzące SYN,ACK, pozostałe są wychodzące od ciebie więc nie musisz ich blokować), aczkolwiek niekoniecznie musi to być regułą, dlatego lepiej popatrzeć wiresharkiem jakie programy wysyłają jakie sekwencje.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...