URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 49054
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS 5"

Отправлено auto_tips , 08-Фев-09 15:09 
Для RHEL 5 / CentOS 5 исходники модуля TARPIT  можно загрузить здесь:
   http://enterprise.bih.harvard.edu/pub/tarpit-updates/old-pat...

TARPIT позволяет организовать коннект в пустоту (соединение не закрывается, но ничего не происходит).

Я скачал 2.6.19 версию, собирается без проблем при наличии пакета kernel-devel и простого makefile:

   obj-m += ipt_TARPIT.o
   KDIR := /lib/modules/$(shell uname -r)/build
   PWD := $(shell pwd)
   all:
        make -C $(KDIR) M=$(PWD) modules
   clean:
        make -C $(KDIR) M=$(PWD) clean

Чтобы при обновлении ядра модуль автоматом подхватывался, нужно зарегистрировать модуль через

   /sbin/weak-modules

Пример использования:

   iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT


URL:
Обсуждается: http://www.opennet.me/tips/info/1935.shtml


Содержание

Сообщения в этом обсуждении
"Поддержка TARPIT для RHEL 5/CentOS 5"
Отправлено daevy , 08-Фев-09 15:09 
чтож ты парень, как сделать написал, а для чего это нужно - нет..! ;)

"Поддержка TARPIT для Debian"
Отправлено Аноним , 08-Фев-09 16:06 
Эх, вот бы кто debian-way подсказал. :-)
А то все известные мне способы превращают дебиан в LFS =)

"Поддержка TARPIT для Debian"
Отправлено Andrey Mitrofanov , 08-Фев-09 16:38 
>Эх, вот бы кто debian-way подсказал. :-)

http://packages.debian.org/lenny/netfilter-extensions-source
В Lenny...



"Поддержка TARPIT для Debian"
Отправлено Руслан , 09-Фев-09 00:35 
А как собрать? Всё ядро придется пересобирать?

"Поддержка TARPIT для Debian"
Отправлено Andrey Mitrofanov , 09-Фев-09 11:51 
>А как собрать?

module-assistant'ом, видимо.
http://kernel-handbook.alioth.debian.org/ch-common-tasks.htm...

> Всё ядро придется пересобирать?

По идее, нет.


"Поддержка TARPIT для Debian"
Отправлено lusvladimir , 08-Фев-09 18:24 
>Эх, вот бы кто debian-way подсказал. :-)

В Debian eсть еще xtables-addons см. http://www.wzdftpd.net/blog/



"Поддержка TARPIT для Debian"
Отправлено Руслан , 09-Фев-09 00:12 
# iptables -t filter -A INPUT -m tcp -p tcp --dport 666 -j TARPIT
Ошибка сегментирования
Что-то не срослось. :)
А жаль.
Боюсь, что если я чего там наисправляю, то оно мои ресурсы есть начнет. ;-)

"Поддержка TARPIT для Debian"
Отправлено Anonymous , 12-Фев-09 10:18 
>--dport 666

Может все дело в номере порта? xD


"Поддержка TARPIT для RHEL 5/CentOS 5"
Отправлено PluOK , 08-Фев-09 17:38 
     Едва ли кто нибудь из нас желал бы угодить в ловушку, если конечно вы цените свою жизнь. Расширение TARPIT представляет собой эквивалент ловушки -- попавшему в нее не удастся быстро выбраться на свободу. Если вы были настолько неблагоразумны, что попытались установить соединение с портом-ловушкой, то обнаружите, что закрыть такое соединение (и освободить тем самым системные ресурсы) не так-то просто.

Чтобы добиться такого эффекта, iptables подтверждает запрос на TCP/IP соединение и устанавливает размер окна равным нулю, что вынуждает атакующую систему прекратить передачу данных -- очень напоминает нажатие комбинации Ctrl+S в терминале. Любые попытки атакующего закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок тайм аута (обычно 12-24 минуты), что в свою очередь приводит к расходу системных ресурсов атакующей системы (но не системы-ловушки). Правило, создающее ловушку может выглядеть примерно так:

iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

источник: http://gazette.linux.ru.net/rus/articles/iptables-treasures....


"Поддержка TARPIT для RHEL 5/CentOS 5"
Отправлено Аноним , 08-Фев-09 18:05 
В последних ядрах не компилируется это расширение.

"Поддержка TARPIT для RHEL 5/CentOS 5"
Отправлено User294 , 09-Фев-09 03:45 
>размер окна равным нулю,

У мну такое ощущение что современные линухи на это не покупаются.Или что в дмесг означает ругань про то что ремота такая-та shrinks window, repaired?(встречается при юзеже P2P например, где далеко не все ремотные машины дружественны и как раз полно тех кто хотел бы затормозить работу P2P сетей).


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено Andrey , 09-Фев-09 03:29 
включил у себя для sendmail, взято с этого сайта:
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -m hashlimit --hashlimit 1/s --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SMTP --hashlimit-name SMTP -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j LOG --log-level debug --log-prefix "SMTP Flood "
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j TARPIT

Может кому пригодиться...


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено netc , 09-Фев-09 16:21 
прикольно ;)
вопрос т.е. все что не есть гуд "идет" в ловушку ;) умно
ребят ну не так опытен как Вы подскажите пожалуйста

1. iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT

2. iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -m hashlimit --hashlimit 1/s --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SMTP --hashlimit-name SMTP -j ACCEPT

3. iptables -A INPUT -p tcp -m tcp --dport 25 -j LOG --log-level debug --log-prefix "SMTP Flood"

4. iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j TARPIT

По сути читая данные цепочки я вижу что все это отночиться к 25 порту тобишь smtp серверу
Насколько я понимаю
1. пропускать уже установленные
2. пропускать новые + ... man iptables
3. ??? все остальные пакеты записывать в лог и помечать как "SMTP Flood" или вообще все записываться будут
4. все входящие на eth0 (внешку я так понимаю) к 25 порту в TARPIT или же оставшиеся от 1. и 2.

извините ;( учусь


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено rusty_angel , 09-Фев-09 18:29 
2. новые не более одного в секунду с пиками не более двух
3. остальное в лог как флуд
4. и в TARPIT их, паршивцев.

Только как-то это радикально больно.


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено Andrey , 10-Фев-09 03:13 
>2. новые не более одного в секунду с пиками не более двух
>
>3. остальное в лог как флуд

обычно в dmesg

>4. и в TARPIT их, паршивцев.
>
>Только как-то это радикально больно.

читай dmesg, увидишь кто они, сколько их..


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено rusty_angel , 10-Фев-09 09:19 
>обычно в dmesg

В сислог, так что /var/log/messages
>>4. и в TARPIT их, паршивцев.
>>
>>Только как-то это радикально больно.
>
>читай dmesg, увидишь кто они, сколько их..

Читаю (см. выше), вижу. Но с почтой, когда доменов сотни, а ящиков тысячи, надо осторожно, и тарпит тут совсем не в тему.


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено netc , 10-Фев-09 09:24 
спасибочки конечно не только тебе но и всем ! молодцы

вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для http, pop3, imap, pptp и т.д. но с разумным подходом исходя из ситуации

в целом ситуация такая организация в которой на шлюзе стоит linux т.е. нет как кто-то заметил (помоему ниже) многих доменов и т.п.

другими словами чтобы весь флуд логировался и "тарпитился"


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено rusty_angel , 10-Фев-09 09:35 
>спасибочки конечно не только тебе но и всем ! молодцы
>
>вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для
>http, pop3, imap, pptp и т.д. но с разумным подходом исходя
>из ситуации
>
>в целом ситуация такая организация в которой на шлюзе стоит linux т.е.
>нет как кто-то заметил (помоему ниже) многих доменов и т.п.
>
>другими словами чтобы весь флуд логировался и "тарпитился"

Можно, но с этим осторожно надо, можно заблокировать и вполне нормальных клиентов. На публичные сервисы не стоит такое вешать, а на ssh и pptp и imap правда можно.

Если вы не провайдер - то вряд ли вас как-то особенно массированно флудят, и можно обойтись DROPом.


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено Руслан , 10-Фев-09 22:58 
Я бы, работай TARPIT из коробки, на всех серверах делал так:
1) на всех портах сервисов, которые я не собираюсь у себя включать, за исключением тех, которые легальные кравлеры моего провайдера осматривают, вешал бы TARPIT
2) На всех приватных сервисах, которые нужны лишь мне одному и никому более, делал бы так называемый port-knocking средствами recent.
В прошлых заметках был совет, как ipt_recent пользоваться.

В итоге, брутфорсерство серверу угрожать перестанет совсем.
А если хорошо почитать документацию, можно умников, которые толпой у сервера 50 раз/сек каждый запрашивает главную страницу, рубить с плеча. В итоге, машины в ботнетах начнут чахнуть. :-)


"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено ihanick , 13-Фев-09 00:13 
есть проблема.
Большие сети за nat. Они могут легко 50 раз в секунду запрашивать главную при посещаемости вашего сайта больше миллиона.

"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Отправлено Руслан , 13-Фев-09 01:36 
Честно не понял.
Это намек на то, что:
а) им пофигу, ибо ответит шлюз
б) им пофигу, ибо никто не ответит за это

Другой вариант?


"Поддержка TARPIT для RHEL 5/CentOS 5"
Отправлено Slava , 20-Фев-10 17:15 
А можно подробней о процессе :)
Я на ядре 2.6.26 ASP Linux никак немогу разобраться с установкой :(