forum.opennet.ru

"Раздел полезных советов: Блокирование попыток эксплуатации h..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..."	+/–
Сообщение от Онаним (?), 11-Апр-14, 13:13
iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP Или я дурак или лыжи не едут. Но в этом правиле гвоздями прибито смещение сигнатуры, в то время как, что IP заголовок, что TCP заголовок имеют переменную длину!!! Выходит, что это правило сглючит, если в IP заголовке будут опции (ну и в TCP тоже). Проскочить IP заголовок можно так "0>>22&0x3C", а IP TCP заголовки так "0>>22&0x3C@ 12>>26&0x3C@". Вот хорошая статья http://www.stearns.org/doc/iptables-u32.current.html Но вот что искать в TCP данных (payload) не ясно. Только если исходить из того, что аффтор правила подразумевал заголовки IP и TCP по 20 байт, то выходит что надо как то так: iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "0>>22&0x3C@ 12>>26&0x3C@12=0x18030000:0x1803FFFF" -j DROP
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Блокирование попыток эксплуатации h..., auto_tips, 09-Апр-14, 20:15 [смотреть все]

А есть способ во FreeBSD реализовать подобную блокировку через ipfw или pf , Аноним, 09-Апр-14, 20:15 (1) //
- А в бздях как обычно все для удобства администратора, так что заблокировать паке, Аноним, 09-Апр-14, 20:27 (2)
- ng_bpf , Аноним, 09-Апр-14, 20:45 (3)
- Блокируй всё Разрешай только то, что конкретно нужно , iZEN, 10-Апр-14, 11:57 (4) //
  - ты прям кэп D, ALex_hha, 10-Апр-14, 13:26 (5)
  - изя, а ты жжож напалмом вот скажи, к примеру, https конкретно нужно или конкретн, тигар, 10-Апр-14, 13:33 (6) //
    - А зачем его же не удобно фильтровать text plain наше усе , тролим толсто, 22-Апр-14, 10:57 (20)
  - ты совершенен в своём невежестве , ананим, 11-Апр-14, 19:35 (15)
  - Прально, разрешай выход только на 80-е порты А вот с 5222 портом такое не про, Аноним, 27-Апр-14, 16:41 (21)
- А нету способа обновиться Типа, ставишь исправленную версию Не Никак , Sabakwaka, 12-Апр-14, 13:08 (16) //
  - Можно, но тогда будет не прикольно, Адекват, 15-Апр-14, 15:44 (17)
- http lists freebsd org pipermail freebsd-net 2008-July 019086 html, Алекс, 16-Апр-14, 11:51 (18)
- Через PF с помощью классификатора Ethernet-фреймов http www openbsd gr faq pf , iZEN, 16-Апр-14, 18:09 (19)
Вот там сказано The rules have been specifically created for HTTPS traffic and m, Онаним, 10-Апр-14, 16:37 (7) //
- Ну, типа того, в http seclists org fulldisclosure 2014 Apr 143 используют-m mu, Andrey Mitrofanov, 11-Апр-14, 11:33 (11)
Уже боты долбятся msg 16509541 241630 Heartbeat Attack IN br0 OUT PHYSIN et, pavlinux, 11-Апр-14, 03:28 (8)
Что это за сигнатура 0x18030000 0x1803FFFF И будет ли работать правило iptabl, Онаним, 11-Апр-14, 10:51 (9) //
- Судя по этому, да options OptionParser usage prog server options , descrip, Онаним, 11-Апр-14, 11:06 (10)
- У меня сегодня около 6 утра сработало,на 465 порту, причем адрес источника - наш, pavlinux, 11-Апр-14, 11:53 (12) //
  - iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 52 0x18030000 0x180 , Онаним, 11-Апр-14, 13:13 (13) //
    - Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет В, pavlinux, 11-Апр-14, 14:56 (14)
Для UDP портов подобное правило годится iptables -t filter -A INPUT -p udp --dpo, Аноним, 27-Апр-14, 17:09 (22)
А как это можно в Mikrotik-ах сделать , VecH, 30-Апр-14, 08:39 (23) //
- Читать документацию Mikrotik, в которой сказано, что RouterOS данной проблеме не, Анонимчег, 03-Май-14, 08:10 (24) //
  - Мне это надо что бы мониторить сквозной трафик из вне в dmz на предмет попыток, VecH, 03-Май-14, 10:22 (26)
- http forum mikrotik com viewtopic php f 2 t 84005, Анонимчег, 03-Май-14, 08:15 (25)
Уязвимые продукты Киски Список будет обновляться по мере расследования инцидент, pincher, 11-Май-14, 11:24 (28) //
- связалась циска с линуксом и получила себе такой подарок , linux must _RIP__, 27-Май-14, 19:35 (33) //
  - Тебе с РИПом в мозгу даже такой подарок не светит Передёргивать с openssl на л, Andrey Mitrofanov, 28-Май-14, 09:44 (34)
  - Пади ж ты, а сколько в самой Цыцке анального добра помимо этой уязвимости в библ, Аноним, 09-Июн-14, 22:45 (36)
Кто расскажет, зачем эти попытки блокировать, если уязвимость устранена , Аноним, 14-Май-14, 00:50 (29) //
- Для экономии электричества На своей стороне, и перевод её, экономии, в расход на, Andrey Mitrofanov, 14-Май-14, 09:37 (30) //
  - тогда почему там DROP, а не TARPIT , Аноним, 25-Май-14, 04:35 (32)
- Например, не в любом продакшне вы можете с лёгкостью апдейтить пакеты Некотор, leon55, 02-Июн-14, 11:41 (35)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру