mythbuster Napisano Grudzień 1, 2008 Zgłoszenie Share Napisano Grudzień 1, 2008 Witam. Mam taki mały problem. Jest pewien serwer CS:S, który jest postawiony na Fedora Core 7.0 .Dostałem zadanie, aby napisać skrypt firewall z uwzględnieniem blokowania syn_flooda, ponieważ były ataki, które wykorzystywały tę lukę i prowadziły do zawieszenia serwera. Sam zbytnio nie wiem o co chodzi, chciałem się was poradzić. Z czym to się je? Da się to zrobić w kilka minut, czy trzeba spędzić na tym parę godzin? Trzeba pisać od nowa cały skrypt firewall, czy może są jakieś gotowe, które blokują to floodowanie? edit No i sory, za zły dział Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 1, 2008 Zgłoszenie Share Napisano Grudzień 1, 2008 Da się to zrobić w kilka minut, czy trzeba spędzić na tym parę godzin?Jak chcesz "na małpę" to na pewno znajdziesz gdzieś w googlach gotowe regułki do dopisania. Jak chcesz wiedzieć cos więcej i napisać naprawdę porządny FW, to raczej kilka godzin. Tym bardziej, że z tego co piszesz wnioskuję, że z iptables to nie miałeś zbyt wiele do czynienia. A tak poza tym, to obowiązuje zasada, że się najpierw samemu szuka w Googlach i innych dostępnych źródłach. A znaleźć można dużo → http://www.google.pl/search?q=iptables+syn...trict&cad=7 np. gotowce Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
mythbuster Napisano Grudzień 1, 2008 Autor Zgłoszenie Share Napisano Grudzień 1, 2008 Sory, ale nie za bardzo wiedziałem jak się zabrać za szukanie, teraz jest sporo łatwiej Hmm... większość tych stron jak poprzeglądałem to ludzie mówią, że mają jakiś problem z firewallem i wklejają te skrypty. I do Fedory jest tam znikoma ilość. Znajduję np. temat Ochrona przed synflooding, ale nie ma tam nigdzie napisane do jakiej to dystrybucji :/ np to: http://forum-pl.hakin9.org/index.php?topic=71.0 może się to zdać do czegokolwiek? czy raczej takie domowe pisane na forach na nic się zdadzą na serwerze? Tutaj mam też jakiś gotowy skrypt: http://gorzow-wlkp.pl/linux/dodatkowe/firewall.txt ale nie wiem do jakiej dystrybucji on jest napisany, nie ma tam nigdzie takiej informacji podanej. Czy moze to nie ma roznicy? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 1, 2008 Zgłoszenie Share Napisano Grudzień 1, 2008 I do Fedory jest tam znikoma ilość. iptables działają tak samo. Różnica tylko taka, że w niektórych dystrybucjach odpalają to skryptem np. rc.firewall a w Fedorze reguły wpisujesz do pliku tekstowego o takiej samej nazwie jak program → /etc/sysconfig/iptables. Potem startujesz serwis iptables na wymaganych poziomach uruchomienia systemu (zazwyczaj 3,5 czasem jeszcze 2). Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Adi1981 Napisano Grudzień 23, 2008 Zgłoszenie Share Napisano Grudzień 23, 2008 Do synflooda wystarczy ustawić odpowiednią wartość syncookies (obsługiwana od dość dawna w kernelu) sysctl -w net.ipv4.tcp_syncookies=1 (na stałe najlepiej ustawić w pliku /etc/sysctl.conf), bądź echo 1 > /proc/sys/net/ipv4/tcp_syncookies No i do firewalla dobrze jest dodać odpowiednie regułki na nieprawidłowe flagi tcp (opcja --tcp-flags). Uprzedzam, że samo blokowanie synflooda przez ustawienie iptables -A INPUT -p tcp -m tcp --syn -j DROP niewiele pomoże, jako że wystarczy wysłać flagę SYN z jakąś inną flagą (np SYN,RST) i już iptables tego nie złapie. Dlatego trzeba się pobawić np. wiresharkiem i przeanalizować co jakie flagi wysyła, jakie odbiera i jakie inne kombinacje można zablokować. Podstawowa sekwencja wygląda SYN → SYN,ACK → ACK (ciebie tu interesuje przychodzące SYN,ACK, pozostałe są wychodzące od ciebie więc nie musisz ich blokować), aczkolwiek niekoniecznie musi to być regułą, dlatego lepiej popatrzeć wiresharkiem jakie programy wysyłają jakie sekwencje. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się