The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от auto_tips on 08-Фев-09, 15:09 
Для RHEL 5 / CentOS 5 исходники модуля TARPIT  можно загрузить здесь:
   http://enterprise.bih.harvard.edu/pub/tarpit-updates/old-pat...

TARPIT позволяет организовать коннект в пустоту (соединение не закрывается, но ничего не происходит).

Я скачал 2.6.19 версию, собирается без проблем при наличии пакета kernel-devel и простого makefile:

   obj-m += ipt_TARPIT.o
   KDIR := /lib/modules/$(shell uname -r)/build
   PWD := $(shell pwd)
   all:
        make -C $(KDIR) M=$(PWD) modules
   clean:
        make -C $(KDIR) M=$(PWD) clean

Чтобы при обновлении ядра модуль автоматом подхватывался, нужно зарегистрировать модуль через

   /sbin/weak-modules

Пример использования:

   iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT


URL:
Обсуждается: http://www.opennet.me/tips/info/1935.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Поддержка TARPIT для RHEL 5/CentOS 5"  +/
Сообщение от daevy on 08-Фев-09, 15:09 
чтож ты парень, как сделать написал, а для чего это нужно - нет..! ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Поддержка TARPIT для Debian"  +/
Сообщение от Аноним (??) on 08-Фев-09, 16:06 
Эх, вот бы кто debian-way подсказал. :-)
А то все известные мне способы превращают дебиан в LFS =)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Поддержка TARPIT для Debian"  +/
Сообщение от Andrey Mitrofanov on 08-Фев-09, 16:38 
>Эх, вот бы кто debian-way подсказал. :-)

http://packages.debian.org/lenny/netfilter-extensions-source
В Lenny...


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Поддержка TARPIT для Debian"  +/
Сообщение от Руслан on 09-Фев-09, 00:35 
А как собрать? Всё ядро придется пересобирать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Поддержка TARPIT для Debian"  +/
Сообщение от Andrey Mitrofanov on 09-Фев-09, 11:51 
>А как собрать?

module-assistant'ом, видимо.
http://kernel-handbook.alioth.debian.org/ch-common-tasks.htm...

> Всё ядро придется пересобирать?

По идее, нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Поддержка TARPIT для Debian"  +/
Сообщение от lusvladimir on 08-Фев-09, 18:24 
>Эх, вот бы кто debian-way подсказал. :-)

В Debian eсть еще xtables-addons см. http://www.wzdftpd.net/blog/


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Поддержка TARPIT для Debian"  +/
Сообщение от Руслан on 09-Фев-09, 00:12 
# iptables -t filter -A INPUT -m tcp -p tcp --dport 666 -j TARPIT
Ошибка сегментирования
Что-то не срослось. :)
А жаль.
Боюсь, что если я чего там наисправляю, то оно мои ресурсы есть начнет. ;-)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Поддержка TARPIT для Debian"  +/
Сообщение от Anonymous on 12-Фев-09, 10:18 
>--dport 666

Может все дело в номере порта? xD

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Поддержка TARPIT для RHEL 5/CentOS 5"  +/
Сообщение от PluOK on 08-Фев-09, 17:38 
     Едва ли кто нибудь из нас желал бы угодить в ловушку, если конечно вы цените свою жизнь. Расширение TARPIT представляет собой эквивалент ловушки -- попавшему в нее не удастся быстро выбраться на свободу. Если вы были настолько неблагоразумны, что попытались установить соединение с портом-ловушкой, то обнаружите, что закрыть такое соединение (и освободить тем самым системные ресурсы) не так-то просто.

Чтобы добиться такого эффекта, iptables подтверждает запрос на TCP/IP соединение и устанавливает размер окна равным нулю, что вынуждает атакующую систему прекратить передачу данных -- очень напоминает нажатие комбинации Ctrl+S в терминале. Любые попытки атакующего закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок тайм аута (обычно 12-24 минуты), что в свою очередь приводит к расходу системных ресурсов атакующей системы (но не системы-ловушки). Правило, создающее ловушку может выглядеть примерно так:

iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

источник: http://gazette.linux.ru.net/rus/articles/iptables-treasures....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Поддержка TARPIT для RHEL 5/CentOS 5"  +/
Сообщение от Аноним (??) on 08-Фев-09, 18:05 
В последних ядрах не компилируется это расширение.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Поддержка TARPIT для RHEL 5/CentOS 5"  +/
Сообщение от User294 (ok) on 09-Фев-09, 03:45 
>размер окна равным нулю,

У мну такое ощущение что современные линухи на это не покупаются.Или что в дмесг означает ругань про то что ремота такая-та shrinks window, repaired?(встречается при юзеже P2P например, где далеко не все ремотные машины дружественны и как раз полно тех кто хотел бы затормозить работу P2P сетей).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от Andrey (??) on 09-Фев-09, 03:29 
включил у себя для sendmail, взято с этого сайта:
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -m hashlimit --hashlimit 1/s --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SMTP --hashlimit-name SMTP -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j LOG --log-level debug --log-prefix "SMTP Flood "
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j TARPIT

Может кому пригодиться...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от netc (??) on 09-Фев-09, 16:21 
прикольно ;)
вопрос т.е. все что не есть гуд "идет" в ловушку ;) умно
ребят ну не так опытен как Вы подскажите пожалуйста

1. iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT

2. iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -m hashlimit --hashlimit 1/s --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SMTP --hashlimit-name SMTP -j ACCEPT

3. iptables -A INPUT -p tcp -m tcp --dport 25 -j LOG --log-level debug --log-prefix "SMTP Flood"

4. iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j TARPIT

По сути читая данные цепочки я вижу что все это отночиться к 25 порту тобишь smtp серверу
Насколько я понимаю
1. пропускать уже установленные
2. пропускать новые + ... man iptables
3. ??? все остальные пакеты записывать в лог и помечать как "SMTP Flood" или вообще все записываться будут
4. все входящие на eth0 (внешку я так понимаю) к 25 порту в TARPIT или же оставшиеся от 1. и 2.

извините ;( учусь

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от rusty_angel (ok) on 09-Фев-09, 18:29 
2. новые не более одного в секунду с пиками не более двух
3. остальное в лог как флуд
4. и в TARPIT их, паршивцев.

Только как-то это радикально больно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от Andrey (??) on 10-Фев-09, 03:13 
>2. новые не более одного в секунду с пиками не более двух
>
>3. остальное в лог как флуд

обычно в dmesg

>4. и в TARPIT их, паршивцев.
>
>Только как-то это радикально больно.

читай dmesg, увидишь кто они, сколько их..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от rusty_angel (ok) on 10-Фев-09, 09:19 
>обычно в dmesg

В сислог, так что /var/log/messages
>>4. и в TARPIT их, паршивцев.
>>
>>Только как-то это радикально больно.
>
>читай dmesg, увидишь кто они, сколько их..

Читаю (см. выше), вижу. Но с почтой, когда доменов сотни, а ящиков тысячи, надо осторожно, и тарпит тут совсем не в тему.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от netc (??) on 10-Фев-09, 09:24 
спасибочки конечно не только тебе но и всем ! молодцы

вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для http, pop3, imap, pptp и т.д. но с разумным подходом исходя из ситуации

в целом ситуация такая организация в которой на шлюзе стоит linux т.е. нет как кто-то заметил (помоему ниже) многих доменов и т.п.

другими словами чтобы весь флуд логировался и "тарпитился"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от rusty_angel (ok) on 10-Фев-09, 09:35 
>спасибочки конечно не только тебе но и всем ! молодцы
>
>вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для
>http, pop3, imap, pptp и т.д. но с разумным подходом исходя
>из ситуации
>
>в целом ситуация такая организация в которой на шлюзе стоит linux т.е.
>нет как кто-то заметил (помоему ниже) многих доменов и т.п.
>
>другими словами чтобы весь флуд логировался и "тарпитился"

Можно, но с этим осторожно надо, можно заблокировать и вполне нормальных клиентов. На публичные сервисы не стоит такое вешать, а на ssh и pptp и imap правда можно.

Если вы не провайдер - то вряд ли вас как-то особенно массированно флудят, и можно обойтись DROPом.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от Руслан on 10-Фев-09, 22:58 
Я бы, работай TARPIT из коробки, на всех серверах делал так:
1) на всех портах сервисов, которые я не собираюсь у себя включать, за исключением тех, которые легальные кравлеры моего провайдера осматривают, вешал бы TARPIT
2) На всех приватных сервисах, которые нужны лишь мне одному и никому более, делал бы так называемый port-knocking средствами recent.
В прошлых заметках был совет, как ipt_recent пользоваться.

В итоге, брутфорсерство серверу угрожать перестанет совсем.
А если хорошо почитать документацию, можно умников, которые толпой у сервера 50 раз/сек каждый запрашивает главную страницу, рубить с плеча. В итоге, машины в ботнетах начнут чахнуть. :-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от ihanick email on 13-Фев-09, 00:13 
есть проблема.
Большие сети за nat. Они могут легко 50 раз в секунду запрашивать главную при посещаемости вашего сайта больше миллиона.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ..."  +/
Сообщение от Руслан on 13-Фев-09, 01:36 
Честно не понял.
Это намек на то, что:
а) им пофигу, ибо ответит шлюз
б) им пофигу, ибо никто не ответит за это

Другой вариант?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Поддержка TARPIT для RHEL 5/CentOS 5"  +/
Сообщение от Slava email(??) on 20-Фев-10, 17:15 
А можно подробней о процессе :)
Я на ядре 2.6.26 ASP Linux никак немогу разобраться с установкой :(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру