The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Активное противодействие сканированию портов 
Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для
блокирования на определенное время IP, обратившегося по неактивному номеру порта.

   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   iptables -A INPUT -p all -i lo -j ACCEPT
   iptables -A OUTPUT -p all -o lo -j ACCEPT

   # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд, 
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
   iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
   iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP

   iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на
нестандартный порт, его будет не так просто обнаружить.
 
18.01.2010 , Автор: Владимир , Источник: http://linux-online-ru.blogspot.com...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, фейри, 12:08, 18/01/2010 [ответить] [смотреть все]
    		• +/
    Таким же образом защищаем сеть за роутером.
     
  • 1.2, Новодворская, 12:16, 18/01/2010 [ответить] [смотреть все]
    		• +/
       iptables -P INPUT DROP
       iptables -P OUTPUT DROP
       iptables -P FORWARD DROP

    это просто фееричный пинцет...

     
     
  • 2.12, Andrey Mitrofanov, 20:38, 18/01/2010 [^] [ответить] [смотреть все] [показать ветку]
    		• +/
    Вас очень смущает http openforum vsluhforumID10 4466 html 7 то, что вы чего-то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, що, 02:41, 15/06/2010 [^] [ответить] [смотреть все]  
    		• +/
    ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсь... весь текст скрыт [показать]
     
  • 1.3, adm, 12:39, 18/01/2010 [ответить] [смотреть все]  
    		• +/
    спасибо пригодится
     
  • 1.4, Pahanivo, 14:05, 18/01/2010 [ответить] [смотреть все]  
    		• +/
    ...
    и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
    некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
     
     
  • 2.5, Аноним, 14:15, 18/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    в каком году уважаемый видел последний раз фтп сервер в активном режиме ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, Pahanivo, 15:35, 18/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и пробле... весь текст скрыт [показать]
     
     
  • 4.9, KdF, 16:59, 18/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других st... весь текст скрыт [показать]
     
     
  • 5.13, Andrey Mitrofanov, 20:49, 18/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Не просветите ссылочкой Желательно с рецензией кого из авторой netfilter ну, н... весь текст скрыт [показать]
     
     
  • 6.19, pavlinux, 15:12, 19/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Ты чаво, такую тему пропустил Пред Новым годом было http www opennet ru ope... весь текст скрыт [показать]
     
     
  • 7.21, Andrey Mitrofanov, 19:22, 19/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Угу, прощёлкал Видимо принял за британских учёных с фороникса ... весь текст скрыт [показать]
     
  • 2.10, User294, 18:46, 18/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    И весь софт динамически использующий порты, типа SIPов всяких Guide забавен но ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Pahanivo, 14:46, 19/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    ны дык я привел самый распространненый и злободневный пример изначально понят... весь текст скрыт [показать]
     
     ....нить скрыта, показать (8)

  • 1.6, pavlinux, 15:29, 18/01/2010 [ответить] [смотреть все]  
    		• +/
    > iptables -P OUTPUT DROP

    Угу...

     
  • 1.8, pavlinux, 16:35, 18/01/2010 [ответить] [смотреть все]  
    		• +/
    nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112  -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;

    Interesting ports on 192.168.20.1:
    PORT    STATE    SERVICE VERSION
    109/tcp closed   pop2
    110/tcp closed   pop3
    111/tcp [b]filtered[/b] rpcbind
    112/tcp closed   mcidas
    MAC Address: 00:A0:D1:53:B0:EA (Inventec)

    Опа, фильтрует...

     
  • 1.11, Square, 20:04, 18/01/2010 [ответить] [смотреть все]  
    		• +/
    # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
       # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
      
    и отправив пакет от имени этого адреса - легко организуем DOS для него
     
  • 1.14, Egenius, 12:21, 19/01/2010 [ответить] [смотреть все]  
    		• +/
    Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом: [code]-A INPUT -j REJECT --reject-with icmp-host-prohibited
    "[/code]
     
  • 1.15, ffsdmad, 12:32, 19/01/2010 [ответить] [смотреть все]  
    		• +/
    Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF

    но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?

     
     
  • 2.16, Andrey Mitrofanov, 13:29, 19/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Если Вы почитаете страничку google ru -m recent модуля recent, то с удивле... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, pavlinux, 14:56, 19/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    > (более трёх раз за 120с)

    1. А где написано про "более трёх раз"?
    2.   --hitcount 3 надо добавлять
    3. И не раз, а не более x TCP пакетов c флагом NEW

    А при сканировании можно ведь и не указывать NEW  

    А так же есть ip spoofing  указав, например

    for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done;

    Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.

     
     
  • 4.20, Аноним, 17:35, 19/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех ... весь текст скрыт [показать]
     
     
  • 5.24, syd, 11:36, 20/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
    По сабжу - параноидальный бред, который рождает кучу гемороя.
     
  • 2.23, adm, 21:56, 19/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
    альтернативный пример использования описаного метода
    sshd вешаем на нестандартный порт 5173
    прописываем такие правила
    iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
    iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP

    теперь почти не реально узнать есть ли на удаленной хосте что  нибудь или нет

     
     
  • 3.26, reminux, 23:22, 20/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Хорошо придумано.
    Но по-моему можно еще проще: вторую строку записать как

    iptables -A INPUT -m recent --set --name FUCKOFF -j DROP

    и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".

     
  • 3.28, OSO, 22:20, 21/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Вам же сказали про пинцет под названием REJECT
     
  • 1.22, Basiley, 21:27, 19/01/2010 [ответить] [смотреть все]  
    		• +/
    изобретаем PSAD ?
    или что-то типа FWSnort ?
    автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
     
     
  • 2.25, koffu, 22:39, 20/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    >изобретаем PSAD ?
    >или что-то типа FWSnort ?
    >автору - поставьте задачу ТОЧНЕЕ, пожалуйста.

    У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
    а перед ним --state ESTABLISHED,RELATED -j ACCEPT

    А еще можно поизвращаться в виде сброса 60% пакетов.

    Есть также есть технология port knocking.

     
     
  • 3.29, Basiley, 22:46, 21/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
    вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.

    про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
    как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.

     
     
  • 4.30, Аноним, 02:00, 23/01/2010 [^] [ответить] [смотреть все]  
    		• +/
    Мсье знает толк в извращениях ... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:
     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 05.02 Проброс 802.1q/access порта в Linux через IP-сеть
    - 25.01 Использование systemtap для устранения уязвимости в реализации /proc/pid/mem
    - 24.01 Мониторинг загрузки многоядерного сервера по каждому ядру в отдельности в Linux
    - 23.01 Осуществление ОGSM/SMS/USSD вызовов с использованием утилиты mdbus
    - 13.01 Интерактивный firewall в Linux
    - 08.01 Советы по увеличению автономной работы ноутбука с Debian/Ubuntu
    - 31.12 Бэкап и восстановление данных из БД memcachedb и других хранилищ на базе BerkeleyDB
    - 28.12 Получение инкрементальных diff-файлов для subversion
    - 27.12 Решение проблемы поддержки php-zip-extension в Fedora-16
    - 25.12 Настройка сетевого доступа в окружениях QEMU
    RSS | Следующие 15 записей >>


    АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Подробнее о проведении акции вы можете прочитать на странице сайта.


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList