Назад | Перейти на главную страницу

Правило iptables для отбрасывания SYN и FIN атак

Судя по отчету Trustwave, мы пытаемся настроить наш сервер так, чтобы он блокировал этот тип запроса, но, попробовав несколько комбинаций правил, мы все еще можем видеть порты.

Может ли кто-нибудь дать мне подсказку или набор необходимых правил для блокировки этого запроса?

я использую nmap --scanflags SYN,FIN xxx.xxx.xxx.xxx чтобы проверить, блокирует ли iptables или нет.

Это правило будет соответствовать, если установлен флаг синхронизации

iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP

И этот будет соответствовать флагу FIN

iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST FIN -j DROP

обратите внимание, что вам нужно будет настроить это, так как правило синхронизации вообще предотвращает входящие TCP-соединения для вашего устройства, возможно, установите конкретный порт, который вы хотите заблокировать?

Я использую что-то, чтобы предотвратить эту SYN-атаку. Не уверен, что он подходит для вашего случая, но вы можете взглянуть. Я считаю запросы в секунду и блокирую IP-адреса с более чем X (в моем случае 20) запросами за 1 секунду. Работает для меня.

iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j DROP

Зайдите в мою вики сообщества: iptables Советы и хитрости

Особенно следующий «ответ»: Ответ № 245713

Обратите внимание, чтобы блокировка была эффективной, ее необходимо разместить в -t raw -A PREROUTING

В сети есть документ под названием «Обнаружение и ввод в заблуждение сетевых сканирований», который подробно описывает это и находит оптимальные параметры блокировки.