| 1.1, daevy (?), 15:09, 08/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
чтож ты парень, как сделать написал, а для чего это нужно - нет..! ;)
| | |
| |
| 2.2, Аноним (-), 16:06, 08/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Эх, вот бы кто debian-way подсказал. :-)
А то все известные мне способы превращают дебиан в LFS =)
| | |
| |
| |
| 4.7, Руслан (?), 00:12, 09/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
# iptables -t filter -A INPUT -m tcp -p tcp --dport 666 -j TARPIT
Ошибка сегментирования
Что-то не срослось. :)
А жаль.
Боюсь, что если я чего там наисправляю, то оно мои ресурсы есть начнет. ;-)
| | |
|
|
|
| 1.4, PluOK (?), 17:38, 08/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Едва ли кто нибудь из нас желал бы угодить в ловушку, если конечно вы цените свою жизнь. Расширение TARPIT представляет собой эквивалент ловушки -- попавшему в нее не удастся быстро выбраться на свободу. Если вы были настолько неблагоразумны, что попытались установить соединение с портом-ловушкой, то обнаружите, что закрыть такое соединение (и освободить тем самым системные ресурсы) не так-то просто.
Чтобы добиться такого эффекта, iptables подтверждает запрос на TCP/IP соединение и устанавливает размер окна равным нулю, что вынуждает атакующую систему прекратить передачу данных -- очень напоминает нажатие комбинации Ctrl+S в терминале. Любые попытки атакующего закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок тайм аута (обычно 12-24 минуты), что в свою очередь приводит к расходу системных ресурсов атакующей системы (но не системы-ловушки). Правило, создающее ловушку может выглядеть примерно так:
iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT
источник: http://gazette.linux.ru.net/rus/articles/iptables-treasures.html
| | |
| |
| 2.10, User294 (ok), 03:45, 09/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>размер окна равным нулю,
У мну такое ощущение что современные линухи на это не покупаются.Или что в дмесг означает ругань про то что ремота такая-та shrinks window, repaired?(встречается при юзеже P2P например, где далеко не все ремотные машины дружественны и как раз полно тех кто хотел бы затормозить работу P2P сетей).
| | |
|
| 1.9, Andrey (??), 03:29, 09/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
включил у себя для sendmail, взято с этого сайта:
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -m hashlimit --hashlimit 1/s --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SMTP --hashlimit-name SMTP -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j LOG --log-level debug --log-prefix "SMTP Flood "
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j TARPIT
Может кому пригодиться...
| | |
| |
| 2.12, netc (??), 16:21, 09/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
 прикольно ;)
вопрос т.е. все что не есть гуд "идет" в ловушку ;) умно
ребят ну не так опытен как Вы подскажите пожалуйста
1. iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT
2. iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -m hashlimit --hashlimit 1/s --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SMTP --hashlimit-name SMTP -j ACCEPT
3. iptables -A INPUT -p tcp -m tcp --dport 25 -j LOG --log-level debug --log-prefix "SMTP Flood"
4. iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j TARPIT
По сути читая данные цепочки я вижу что все это отночиться к 25 порту тобишь smtp серверу
Насколько я понимаю
1. пропускать уже установленные
2. пропускать новые + ... man iptables
3. ??? все остальные пакеты записывать в лог и помечать как "SMTP Flood" или вообще все записываться будут
4. все входящие на eth0 (внешку я так понимаю) к 25 порту в TARPIT или же оставшиеся от 1. и 2.
извините ;( учусь
| | |
| |
| 3.13, rusty_angel (ok), 18:29, 09/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
2. новые не более одного в секунду с пиками не более двух
3. остальное в лог как флуд
4. и в TARPIT их, паршивцев.
Только как-то это радикально больно.
| | |
| |
| 4.14, Andrey (??), 03:13, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>2. новые не более одного в секунду с пиками не более двух
>
>3. остальное в лог как флуд
обычно в dmesg
>4. и в TARPIT их, паршивцев.
>
>Только как-то это радикально больно.
читай dmesg, увидишь кто они, сколько их..
| | |
| |
| 5.15, rusty_angel (ok), 09:19, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>обычно в dmesg
В сислог, так что /var/log/messages
>>4. и в TARPIT их, паршивцев.
>>
>>Только как-то это радикально больно.
>
>читай dmesg, увидишь кто они, сколько их..
Читаю (см. выше), вижу. Но с почтой, когда доменов сотни, а ящиков тысячи, надо осторожно, и тарпит тут совсем не в тему.
| | |
|
| 4.16, netc (??), 09:24, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
спасибочки конечно не только тебе но и всем ! молодцы
вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для http, pop3, imap, pptp и т.д. но с разумным подходом исходя из ситуации
в целом ситуация такая организация в которой на шлюзе стоит linux т.е. нет как кто-то заметил (помоему ниже) многих доменов и т.п.
другими словами чтобы весь флуд логировался и "тарпитился"
| | |
| |
| 5.17, rusty_angel (ok), 09:35, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>спасибочки конечно не только тебе но и всем ! молодцы
>
>вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для
>http, pop3, imap, pptp и т.д. но с разумным подходом исходя
>из ситуации
>
>в целом ситуация такая организация в которой на шлюзе стоит linux т.е.
>нет как кто-то заметил (помоему ниже) многих доменов и т.п.
>
>другими словами чтобы весь флуд логировался и "тарпитился"
Можно, но с этим осторожно надо, можно заблокировать и вполне нормальных клиентов. На публичные сервисы не стоит такое вешать, а на ssh и pptp и imap правда можно.
Если вы не провайдер - то вряд ли вас как-то особенно массированно флудят, и можно обойтись DROPом.
| | |
| 5.18, Руслан (?), 22:58, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Я бы, работай TARPIT из коробки, на всех серверах делал так:
1) на всех портах сервисов, которые я не собираюсь у себя включать, за исключением тех, которые легальные кравлеры моего провайдера осматривают, вешал бы TARPIT
2) На всех приватных сервисах, которые нужны лишь мне одному и никому более, делал бы так называемый port-knocking средствами recent.
В прошлых заметках был совет, как ipt_recent пользоваться.
В итоге, брутфорсерство серверу угрожать перестанет совсем.
А если хорошо почитать документацию, можно умников, которые толпой у сервера 50 раз/сек каждый запрашивает главную страницу, рубить с плеча. В итоге, машины в ботнетах начнут чахнуть. :-)
| | |
| |
| 6.20, ihanick (?), 00:13, 13/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
 есть проблема.
Большие сети за nat. Они могут легко 50 раз в секунду запрашивать главную при посещаемости вашего сайта больше миллиона.
| | |
| |
| 7.21, Руслан (?), 01:36, 13/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Честно не понял.
Это намек на то, что:
а) им пофигу, ибо ответит шлюз
б) им пофигу, ибо никто не ответит за это
Другой вариант?
| | |
|
|
|
|
|
|
| 1.22, Slava (??), 17:15, 20/02/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А можно подробней о процессе :)
Я на ядре 2.6.26 ASP Linux никак немогу разобраться с установкой :(
| | |
|