The OpenNET Project: Поддержка TARPIT для RHEL 5/CentOS 5

2.2, Аноним, 16:06, 08/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Эх, вот бы кто debian-way подсказал - А то все известные мне способы превраща... весь текст скрыт [показать] [показать ветку]

3.3, Andrey Mitrofanov, 16:38, 08/02/2009 [^] [ответить] [смотреть все]	+/–
http packages debian org lenny netfilter-extensions-source В Lenny ... весь текст скрыт [показать]

4.8, Руслан, 00:35, 09/02/2009 [^] [ответить] [смотреть все]	+/–
А как собрать Всё ядро придется пересобирать ... весь текст скрыт [показать]

5.11, Andrey Mitrofanov, 11:51, 09/02/2009 [^] [ответить] [смотреть все]	+/–
module-assistant ом, видимо http kernel-handbook alioth debian org ch-common-... весь текст скрыт [показать]

3.6, lusvladimir, 18:24, 08/02/2009 [^] [ответить] [смотреть все]	+/–
В Debian eсть еще xtables-addons см http www wzdftpd net blog ... весь текст скрыт [показать]

4.7, Руслан, 00:12, 09/02/2009 [^] [ответить] [смотреть все]	+/–
iptables -t filter -A INPUT -m tcp -p tcp --dport 666 -j TARPIT Ошибка сегмент... весь текст скрыт [показать]

5.19, Anonymous, 10:18, 12/02/2009 [^] [ответить] [смотреть все]	+/–
Может все дело в номере порта xD... весь текст скрыт [показать]

2.12, netc, 16:21, 09/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
прикольно вопрос т е все что не есть гуд идет в ловушку умно ребят ну ... весь текст скрыт [показать] [показать ветку]

3.13, rusty_angel, 18:29, 09/02/2009 [^] [ответить] [смотреть все]

+/–

2. новые не более одного в секунду с пиками не более двух
3. остальное в лог как флуд
4. и в TARPIT их, паршивцев.

Только как-то это радикально больно.

4.14, Andrey, 03:13, 10/02/2009 [^] [ответить] [смотреть все]

+/–

>2. новые не более одного в секунду с пиками не более двух
>
>3. остальное в лог как флуд

обычно в dmesg

>4. и в TARPIT их, паршивцев.
>
>Только как-то это радикально больно.

читай dmesg, увидишь кто они, сколько их..

5.15, rusty_angel, 09:19, 10/02/2009 [^] [ответить] [смотреть все]

+/–

>обычно в dmesg

В сислог, так что /var/log/messages
>>4. и в TARPIT их, паршивцев.
>>
>>Только как-то это радикально больно.
>
>читай dmesg, увидишь кто они, сколько их..

Читаю (см. выше), вижу. Но с почтой, когда доменов сотни, а ящиков тысячи, надо осторожно, и тарпит тут совсем не в тему.

4.16, netc, 09:24, 10/02/2009 [^] [ответить] [смотреть все]

+/–

спасибочки конечно не только тебе но и всем ! молодцы

вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для http, pop3, imap, pptp и т.д. но с разумным подходом исходя из ситуации

в целом ситуация такая организация в которой на шлюзе стоит linux т.е. нет как кто-то заметил (помоему ниже) многих доменов и т.п.

другими словами чтобы весь флуд логировался и "тарпитился"

5.17, rusty_angel, 09:35, 10/02/2009 [^] [ответить] [смотреть все]

+/–

>спасибочки конечно не только тебе но и всем ! молодцы
>
>вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для
>http, pop3, imap, pptp и т.д. но с разумным подходом исходя
>из ситуации
>
>в целом ситуация такая организация в которой на шлюзе стоит linux т.е.
>нет как кто-то заметил (помоему ниже) многих доменов и т.п.
>
>другими словами чтобы весь флуд логировался и "тарпитился"

Можно, но с этим осторожно надо, можно заблокировать и вполне нормальных клиентов. На публичные сервисы не стоит такое вешать, а на ssh и pptp и imap правда можно.

Если вы не провайдер - то вряд ли вас как-то особенно массированно флудят, и можно обойтись DROPом.

5.18, Руслан, 22:58, 10/02/2009 [^] [ответить] [смотреть все]	+/–
Я бы, работай TARPIT из коробки, на всех серверах делал так: 1) на всех портах сервисов, которые я не собираюсь у себя включать, за исключением тех, которые легальные кравлеры моего провайдера осматривают, вешал бы TARPIT 2) На всех приватных сервисах, которые нужны лишь мне одному и никому более, делал бы так называемый port-knocking средствами recent. В прошлых заметках был совет, как ipt_recent пользоваться. В итоге, брутфорсерство серверу угрожать перестанет совсем. А если хорошо почитать документацию, можно умников, которые толпой у сервера 50 раз/сек каждый запрашивает главную страницу, рубить с плеча. В итоге, машины в ботнетах начнут чахнуть. :-)

6.20, ihanick, 00:13, 13/02/2009 [^] [ответить] [смотреть все]	+/–
есть проблема. Большие сети за nat. Они могут легко 50 раз в секунду запрашивать главную при посещаемости вашего сайта больше миллиона.

7.21, Руслан, 01:36, 13/02/2009 [^] [ответить] [смотреть все]	+/–
Честно не понял. Это намек на то, что: а) им пофигу, ибо ответит шлюз б) им пофигу, ибо никто не ответит за это Другой вариант?

Поддержка TARPIT для RHEL 5/CentOS 5	[исправить]
Для RHEL 5 / CentOS 5 исходники модуля TARPIT можно загрузить здесь: http://enterprise.bih.harvard.edu/pub/tarpit-updates/old-patch-o-matic TARPIT позволяет организовать коннект в пустоту (соединение не закрывается, но ничего не происходит). Я скачал 2.6.19 версию, собирается без проблем при наличии пакета kernel-devel и простого makefile: obj-m += ipt_TARPIT.o KDIR := /lib/modules/$(shell uname -r)/build PWD := $(shell pwd) all: make -C $(KDIR) M=$(PWD) modules clean: make -C $(KDIR) M=$(PWD) clean Чтобы при обновлении ядра модуль автоматом подхватывался, нужно зарегистрировать модуль через /sbin/weak-modules Пример использования: iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

06.02.2009 , Автор: Андрей Ключи: iptables, linux, kernel, (найти похожие документы)
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains