URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 63020
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Активное противодействие сканирован..."

Отправлено auto_tips , 18-Янв-10 12:08 
Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для блокирования на определенное время IP, обратившегося по неактивному номеру порта.

   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   iptables -A INPUT -p all -i lo -j ACCEPT
   iptables -A OUTPUT -p all -o lo -j ACCEPT

   # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
   iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
   iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP

   iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на нестандартный порт, его будет не так просто обнаружить.

URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_17.html
Обсуждается: http://www.opennet.me/tips/info/2267.shtml


Содержание

Сообщения в этом обсуждении
"Активное противодействие сканированию портов"
Отправлено фейри , 18-Янв-10 12:08 
Таким же образом защищаем сеть за роутером.

"Активное противодействие сканированию портов"
Отправлено Новодворская , 18-Янв-10 12:16 
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

это просто фееричный пинцет...


"Активное противодействие сканированию портов"
Отправлено Andrey Mitrofanov , 18-Янв-10 20:38 
Вас очень смущает http:/openforum/vsluhforumID10/4466.html#7 то, что вы чего-то http:/openforum/vsluhforumID10/4466.html#11 не понимаете, и Вы хотите об этом пого^Wвсем нам рассказать?

"Активное противодействие сканированию портов"
Отправлено що , 15-Июн-10 02:41 
ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета

"Активное противодействие сканированию портов"
Отправлено adm , 18-Янв-10 12:39 
спасибо пригодится

"Активное противодействие сканированию портов"
Отправлено Pahanivo , 18-Янв-10 14:05 
...
и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...

"Активное противодействие сканированию портов"
Отправлено Аноним , 18-Янв-10 14:15 
в каком году уважаемый видел последний раз фтп сервер в активном режиме?

"Активное противодействие сканированию портов"
Отправлено Pahanivo , 18-Янв-10 15:35 
>в каком году уважаемый видел последний раз фтп сервер в активном режиме?
>

ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и проблема не такая явная, но она сеть )


"Активное противодействие сканированию портов"
Отправлено KdF , 18-Янв-10 16:59 
Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть, можно пожелать удачи в использовании активного FTP и дальше.

"Активное противодействие сканированию портов"
Отправлено Andrey Mitrofanov , 18-Янв-10 20:49 
>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть

Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?


"Активное противодействие сканированию портов"
Отправлено pavlinux , 19-Янв-10 15:12 
>>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть
>
>Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?

Ты чаво, такую тему пропустил!!! Пред Новым годом было

http://www.opennet.me/opennews/art.shtml?num=24832


"Активное противодействие сканированию портов"
Отправлено Andrey Mitrofanov , 19-Янв-10 19:22 
>Ты чаво, такую тему пропустил!!! Пред Новым годом было

Угу, прощёлкал... Видимо принял за британских учёных с фороникса. :/


"Активное противодействие сканированию портов"
Отправлено User294 , 18-Янв-10 18:46 
>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,

И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но чреват побочными эффектами, при том еще большой вопрос от кого будет хуже - от этих спецэффектов или от сканов портов (а собственно какой от них вред, по большому счетй?).


"Активное противодействие сканированию портов"
Отправлено Pahanivo , 19-Янв-10 14:46 
>>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,
>
>И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но
>чреват побочными эффектами, при том еще большой вопрос от кого будет
>хуже - от этих спецэффектов или от сканов портов (а собственно
>какой от них вред, по большому счетй?).

ны дык я привел самый распространненый и злободневный пример ))
изначально понятно что данный метод параноя на гране маразма ...


"Активное противодействие сканированию портов"
Отправлено pavlinux , 18-Янв-10 15:29 
> iptables -P OUTPUT DROP

Угу...


"Активное противодействие сканированию портов"
Отправлено pavlinux , 18-Янв-10 16:35 
nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112  -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;

Interesting ports on 192.168.20.1:
PORT    STATE    SERVICE VERSION
109/tcp closed   pop2
110/tcp closed   pop3
111/tcp filtered rpcbind
112/tcp closed   mcidas
MAC Address: 00:A0:D1:53:B0:EA (Inventec)

Опа, фильтрует...


"Активное противодействие сканированию портов"
Отправлено Square , 18-Янв-10 20:04 
# любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
  
и отправив пакет от имени этого адреса - легко организуем DOS для него

"Активное противодействие сканированию портов"
Отправлено Egenius , 19-Янв-10 12:21 
Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
"


"Активное противодействие сканированию портов"
Отправлено ffsdmad , 19-Янв-10 12:32 
Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF

но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?


"Активное противодействие сканированию портов"
Отправлено Andrey Mitrofanov , 19-Янв-10 13:29 
>Интересный пример
>но как смысл в

Если Вы почитаете страничку (google.ru + "-m recent") модуля recent, то с удивлением узнаете, что:
1/ это штатное его применение описанное автором---
2/ смысл не в "блокировании" просто абы кого, а блокировании тех, кто, типа, ломился (более трёх раз за 120с)+++


"Активное противодействие сканированию портов"
Отправлено pavlinux , 19-Янв-10 14:56 
> (более трёх раз за 120с)

1. А где написано про "более трёх раз"?
2.   --hitcount 3 надо добавлять
3. И не раз, а не более x TCP пакетов c флагом NEW

А при сканировании можно ведь и не указывать NEW  

А так же есть ip spoofing  указав, например

for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done;

Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.


"Активное противодействие сканированию портов"
Отправлено Аноним , 19-Янв-10 17:35 
> Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.

Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех транзитных провайдеров что бы они пропустили через свои сети spoofed IP адреса от пользователей.


"Активное противодействие сканированию портов"
Отправлено syd , 20-Янв-10 11:36 
Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
По сабжу - параноидальный бред, который рождает кучу гемороя.

"Активное противодействие сканированию портов"
Отправлено adm , 19-Янв-10 21:56 
Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
альтернативный пример использования описаного метода
sshd вешаем на нестандартный порт 5173
прописываем такие правила
iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP

теперь почти не реально узнать есть ли на удаленной хосте что  нибудь или нет


"Активное противодействие сканированию портов"
Отправлено reminux , 20-Янв-10 23:22 
Хорошо придумано.
Но по-моему можно еще проще: вторую строку записать как

iptables -A INPUT -m recent --set --name FUCKOFF -j DROP

и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".


"Активное противодействие сканированию портов"
Отправлено OSO , 21-Янв-10 22:20 
Вам же сказали про пинцет под названием REJECT

"Активное противодействие сканированию портов"
Отправлено Basiley , 19-Янв-10 21:27 
изобретаем PSAD ?
или что-то типа FWSnort ?
автору - поставьте задачу ТОЧНЕЕ, пожалуйста.

"Активное противодействие сканированию портов"
Отправлено koffu , 20-Янв-10 22:39 
>изобретаем PSAD ?
>или что-то типа FWSnort ?
>автору - поставьте задачу ТОЧНЕЕ, пожалуйста.

У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
а перед ним --state ESTABLISHED,RELATED -j ACCEPT

А еще можно поизвращаться в виде сброса 60% пакетов.

Есть также есть технология port knocking.


"Активное противодействие сканированию портов"
Отправлено Basiley , 21-Янв-10 22:46 
IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.

про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.


"Активное противодействие сканированию портов"
Отправлено Аноним , 23-Янв-10 02:00 
Мсье знает толк в извращениях...

"Активное противодействие сканированию портов"
Отправлено Аноним , 25-Июл-14 17:30 
Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html

"Активное противодействие сканированию портов"
Отправлено agubernatorov , 11-Сен-14 20:34 
Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это — http://sysadm.pp.ua/linux/iptables-antiscan.html