█ 28.04.2017 11:51
После того, как я однажды налетел с тем, что не собрал модуль для TARPIT (а от поставляется отдельно в пакете xtables-addons), я некоторое время не пользовался им. Однако, что может как-то компенсировать горечь при наблюдении бесконечных попыток сканирования и прочего взлома твоего сервера? Только осознание, что у сканирующего возникли какие-то проблемы. :)
TARPIT позволяет это сделать.
В обычных ситуациях на все нежелательные соединения вы делаете DROP, игнорируете предложение удаленной стороны слиться в экстазеустановить соединение. Удаленная сторона ждет некоторое время, после чего, например, предпринимает еще одну попытку. Иными словами продолжает сканировать и понимает, что порт закрыт. Другое дело, если вы примените TARPIT. В этом случае удаленной стороне сообщается, что порт открыт и вы сейчас будете готовы. На самом деле у вас на сервере ничего не открывается, конечно, и ресурсы практически не используются. На удаленной же стороне сокет включает ожидание соединения, которое после рукопожатия так еще и не установилось. Вполне нормальная ситуация, например, при плохой связи. Т.е. на вашем сервере ничего не взвелось, а удаленный сервер вполне себе тратит ресурсы и нервничает, особенно хорошо от этого клинит винду. Если там многопоточная дрянь работает, то винда в кривых руках может вообще завалиться. Мелочь, а приятно. В прямых руках, конечно, немного затормозится скан, а не заклинит, но все равно, на мой взгляд, если есть возможность устроить проблемы зловредам, то лучше это сделать.
Итак, убедитесь, что аддоны, указанные выше вы поставили. Теперь необходимо вместо традиционного DROP использовать TARPIT.
Самый примитивный вариант для понимания сути
обратите внимание, что есть смысл использовать TARPIT исключительно на входящих соединениях, а не пробрасываемых. Более того, если особо внимательно все делать, можно поставить NOTRACK на эти соединения, чтобы никто более не возбудился от таких пакетов.
TARPIT позволяет это сделать.
В обычных ситуациях на все нежелательные соединения вы делаете DROP, игнорируете предложение удаленной стороны слиться в экстазеустановить соединение. Удаленная сторона ждет некоторое время, после чего, например, предпринимает еще одну попытку. Иными словами продолжает сканировать и понимает, что порт закрыт. Другое дело, если вы примените TARPIT. В этом случае удаленной стороне сообщается, что порт открыт и вы сейчас будете готовы. На самом деле у вас на сервере ничего не открывается, конечно, и ресурсы практически не используются. На удаленной же стороне сокет включает ожидание соединения, которое после рукопожатия так еще и не установилось. Вполне нормальная ситуация, например, при плохой связи. Т.е. на вашем сервере ничего не взвелось, а удаленный сервер вполне себе тратит ресурсы и нервничает, особенно хорошо от этого клинит винду. Если там многопоточная дрянь работает, то винда в кривых руках может вообще завалиться. Мелочь, а приятно. В прямых руках, конечно, немного затормозится скан, а не заклинит, но все равно, на мой взгляд, если есть возможность устроить проблемы зловредам, то лучше это сделать.
Итак, убедитесь, что аддоны, указанные выше вы поставили. Теперь необходимо вместо традиционного DROP использовать TARPIT.
Самый примитивный вариант для понимания сути
Код:
iptables -A INPUT -s x.x.x.x -p tcp -j TARPIT
Часовой пояс GMT +3, время: 16:50.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.