Firewall , Syn_flood

[mythbuster]

Witam.

Mam taki mały problem. Jest pewien serwer CS:S, który jest postawiony na Fedora Core 7.0 .Dostałem zadanie, aby napisać skrypt firewall z uwzględnieniem blokowania syn_flooda, ponieważ były ataki, które wykorzystywały tę lukę i prowadziły do zawieszenia serwera. Sam zbytnio nie wiem o co chodzi, chciałem się was poradzić. Z czym to się je? Da się to zrobić w kilka minut, czy trzeba spędzić na tym parę godzin? Trzeba pisać od nowa cały skrypt firewall, czy może są jakieś gotowe, które blokują to floodowanie?

 

edit

No i sory, za zły dział

[@WalDo]

Da się to zrobić w kilka minut, czy trzeba spędzić na tym parę godzin?

Jak chcesz "na małpę" to na pewno znajdziesz gdzieś w googlach gotowe regułki do dopisania. Jak chcesz wiedzieć cos więcej i napisać naprawdę porządny FW, to raczej kilka godzin. Tym bardziej, że z tego co piszesz wnioskuję, że z iptables to nie miałeś zbyt wiele do czynienia.

 

A tak poza tym, to obowiązuje zasada, że się najpierw samemu szuka w Googlach i innych dostępnych źródłach. A znaleźć można dużo → http://www.google.pl/search?q=iptables+syn...trict&cad=7 np. gotowce

[mythbuster]

Sory, ale nie za bardzo wiedziałem jak się zabrać za szukanie, teraz jest sporo łatwiej Hmm... większość tych stron jak poprzeglądałem to ludzie mówią, że mają jakiś problem z firewallem i wklejają te skrypty. I do Fedory jest tam znikoma ilość. Znajduję np. temat Ochrona przed synflooding, ale nie ma tam nigdzie napisane do jakiej to dystrybucji :/ np to: http://forum-pl.hakin9.org/index.php?topic=71.0 może się to zdać do czegokolwiek? czy raczej takie domowe pisane na forach na nic się zdadzą na serwerze?

Tutaj mam też jakiś gotowy skrypt: http://gorzow-wlkp.pl/linux/dodatkowe/firewall.txt ale nie wiem do jakiej dystrybucji on jest napisany, nie ma tam nigdzie takiej informacji podanej. Czy moze to nie ma roznicy?

[@WalDo]

I do Fedory jest tam znikoma ilość.

iptables działają tak samo. Różnica tylko taka, że w niektórych dystrybucjach odpalają to skryptem np. rc.firewall a w Fedorze reguły wpisujesz do pliku tekstowego o takiej samej nazwie jak program → /etc/sysconfig/iptables. Potem startujesz serwis iptables na wymaganych poziomach uruchomienia systemu (zazwyczaj 3,5 czasem jeszcze 2).

 

[Adi1981]

Do synflooda wystarczy ustawić odpowiednią wartość syncookies (obsługiwana od dość dawna w kernelu)

sysctl -w net.ipv4.tcp_syncookies=1

(na stałe najlepiej ustawić w pliku /etc/sysctl.conf), bądź

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

 

No i do firewalla dobrze jest dodać odpowiednie regułki na nieprawidłowe flagi tcp (opcja --tcp-flags). Uprzedzam, że samo blokowanie synflooda przez ustawienie

iptables -A INPUT -p tcp -m tcp --syn -j DROP

niewiele pomoże, jako że wystarczy wysłać flagę SYN z jakąś inną flagą (np SYN,RST) i już iptables tego nie złapie. Dlatego trzeba się pobawić np. wiresharkiem i przeanalizować co jakie flagi wysyła, jakie odbiera i jakie inne kombinacje można zablokować. Podstawowa sekwencja wygląda SYN → SYN,ACK → ACK (ciebie tu interesuje przychodzące SYN,ACK, pozostałe są wychodzące od ciebie więc nie musisz ich blokować), aczkolwiek niekoniecznie musi to być regułą, dlatego lepiej popatrzeć wiresharkiem jakie programy wysyłają jakie sekwencje.