форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Активное противодействие сканирован..."	+/–
Сообщение от auto_tips on 18-Янв-10, 12:08
Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для блокирования на определенное время IP, обратившегося по неактивному номеру порта.    iptables -P INPUT DROP    iptables -P OUTPUT DROP    iptables -P FORWARD DROP    iptables -A INPUT -p all -i lo -j ACCEPT    iptables -A OUTPUT -p all -o lo -j ACCEPT    # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,    # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов    iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP    iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT    iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT    iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT    iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на нестандартный порт, его будет не так просто обнаружить. URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_17.html Обсуждается: https://www.opennet.ru/tips/info/2267.shtml
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Активное противодействие сканированию портов"	+/–
Сообщение от фейри on 18-Янв-10, 12:08
Таким же образом защищаем сеть за роутером.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Активное противодействие сканированию портов"	+/–
Сообщение от Новодворская on 18-Янв-10, 12:16
iptables -P INPUT DROP    iptables -P OUTPUT DROP    iptables -P FORWARD DROP это просто фееричный пинцет...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Активное противодействие сканированию портов"	+/–
	Сообщение от Andrey Mitrofanov on 18-Янв-10, 20:38
	Вас очень смущает http:/openforum/vsluhforumID10/4466.html#7 то, что вы чего-то http:/openforum/vsluhforumID10/4466.html#11 не понимаете, и Вы хотите об этом пого^Wвсем нам рассказать?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	31. "Активное противодействие сканированию портов"	+/–
	Сообщение от що on 15-Июн-10, 02:41
	ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

3. "Активное противодействие сканированию портов"	+/–
Сообщение от adm (??) on 18-Янв-10, 12:39
спасибо пригодится
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Активное противодействие сканированию портов"	+/–
Сообщение от Pahanivo (ok) on 18-Янв-10, 14:05
... и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник )) некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Активное противодействие сканированию портов"	+/–
	Сообщение от Аноним (??) on 18-Янв-10, 14:15
	в каком году уважаемый видел последний раз фтп сервер в активном режиме?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Активное противодействие сканированию портов"	+/–
	Сообщение от Pahanivo (ok) on 18-Янв-10, 15:35
	>в каком году уважаемый видел последний раз фтп сервер в активном режиме? > ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и проблема не такая явная, но она сеть )
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Активное противодействие сканированию портов"	+/–
	Сообщение от KdF (??) on 18-Янв-10, 16:59
	Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть, можно пожелать удачи в использовании активного FTP и дальше.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	13. "Активное противодействие сканированию портов"	+/–
	Сообщение от Andrey Mitrofanov on 18-Янв-10, 20:49
	>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	19. "Активное противодействие сканированию портов"	+/–
	Сообщение от pavlinux (ok) on 19-Янв-10, 15:12
	>>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть > >Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"? Ты чаво, такую тему пропустил!!! Пред Новым годом было https://www.opennet.ru/opennews/art.shtml?num=24832
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	21. "Активное противодействие сканированию портов"	+/–
	Сообщение от Andrey Mitrofanov on 19-Янв-10, 19:22
	>Ты чаво, такую тему пропустил!!! Пред Новым годом было Угу, прощёлкал... Видимо принял за британских учёных с фороникса. :/
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	10. "Активное противодействие сканированию портов"	+/–
	Сообщение от User294 (ok) on 18-Янв-10, 18:46
	>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но чреват побочными эффектами, при том еще большой вопрос от кого будет хуже - от этих спецэффектов или от сканов портов (а собственно какой от них вред, по большому счетй?).
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	17. "Активное противодействие сканированию портов"	+/–
	Сообщение от Pahanivo (ok) on 19-Янв-10, 14:46
	>>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, > >И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но >чреват побочными эффектами, при том еще большой вопрос от кого будет >хуже - от этих спецэффектов или от сканов портов (а собственно >какой от них вред, по большому счетй?). ны дык я привел самый распространненый и злободневный пример )) изначально понятно что данный метод параноя на гране маразма ...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

6. "Активное противодействие сканированию портов"	+/–
Сообщение от pavlinux (ok) on 18-Янв-10, 15:29
> iptables -P OUTPUT DROP Угу...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Активное противодействие сканированию портов"	+/–
Сообщение от pavlinux (ok) on 18-Янв-10, 16:35
nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112  -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth; Interesting ports on 192.168.20.1: PORT    STATE    SERVICE VERSION 109/tcp closed   pop2 110/tcp closed   pop3 111/tcp filtered rpcbind 112/tcp closed   mcidas MAC Address: 00:A0:D1:53:B0:EA (Inventec) Опа, фильтрует...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Активное противодействие сканированию портов"	+/–
Сообщение от Square (ok) on 18-Янв-10, 20:04
# любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,    # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов    и отправив пакет от имени этого адреса - легко организуем DOS для него
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Активное противодействие сканированию портов"	+/–
Сообщение от Egenius (??) on 19-Янв-10, 12:21
Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом: -A INPUT -j REJECT --reject-with icmp-host-prohibited "
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Активное противодействие сканированию портов"	+/–
Сообщение от ffsdmad (ok) on 19-Янв-10, 12:32
Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "Активное противодействие сканированию портов"	+/–
	Сообщение от Andrey Mitrofanov on 19-Янв-10, 13:29
	>Интересный пример >но как смысл в Если Вы почитаете страничку (google.ru + "-m recent") модуля recent, то с удивлением узнаете, что: 1/ это штатное его применение описанное автором--- 2/ смысл не в "блокировании" просто абы кого, а блокировании тех, кто, типа, ломился (более трёх раз за 120с)+++
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "Активное противодействие сканированию портов"	+/–
	Сообщение от pavlinux (ok) on 19-Янв-10, 14:56
	> (более трёх раз за 120с) 1. А где написано про "более трёх раз"? 2.   --hitcount 3 надо добавлять 3. И не раз, а не более x TCP пакетов c флагом NEW А при сканировании можно ведь и не указывать NEW   А так же есть ip spoofing  указав, например for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done; Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	20. "Активное противодействие сканированию портов"	+/–
	Сообщение от Аноним (??) on 19-Янв-10, 17:35
	> Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies. Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех транзитных провайдеров что бы они пропустили через свои сети spoofed IP адреса от пользователей.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	24. "Активное противодействие сканированию портов"	+/–
	Сообщение от syd on 20-Янв-10, 11:36
	Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами. По сабжу - параноидальный бред, который рождает кучу гемороя.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	23. "Активное противодействие сканированию портов"	+/–
	Сообщение от adm (??) on 19-Янв-10, 21:56
	Смысл в сокрытии демона, статья помечена такой меткой в блоге :) альтернативный пример использования описаного метода sshd вешаем на нестандартный порт 5173 прописываем такие правила iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP теперь почти не реально узнать есть ли на удаленной хосте что  нибудь или нет
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	26. "Активное противодействие сканированию портов"	+/–
	Сообщение от reminux on 20-Янв-10, 23:22
	Хорошо придумано. Но по-моему можно еще проще: вторую строку записать как iptables -A INPUT -m recent --set --name FUCKOFF -j DROP и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	28. "Активное противодействие сканированию портов"	+/–
	Сообщение от OSO (ok) on 21-Янв-10, 22:20
	Вам же сказали про пинцет под названием REJECT
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

22. "Активное противодействие сканированию портов"	+/–
Сообщение от Basiley (ok) on 19-Янв-10, 21:27
изобретаем PSAD ? или что-то типа FWSnort ? автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	25. "Активное противодействие сканированию портов"	+/–
	Сообщение от koffu (??) on 20-Янв-10, 22:39
	>изобретаем PSAD ? >или что-то типа FWSnort ? >автору - поставьте задачу ТОЧНЕЕ, пожалуйста. У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP а перед ним --state ESTABLISHED,RELATED -j ACCEPT А еще можно поизвращаться в виде сброса 60% пакетов. Есть также есть технология port knocking.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	29. "Активное противодействие сканированию портов"	+/–
	Сообщение от Basiley (ok) on 21-Янв-10, 22:46
	IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем. вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь. про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету". как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	30. "Активное противодействие сканированию портов"	+/–
	Сообщение от Аноним (??) on 23-Янв-10, 02:00
	Мсье знает толк в извращениях...
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Активное противодействие сканированию портов"	+/–
Сообщение от Аноним (??) on 25-Июл-14, 17:30
Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Активное противодействие сканированию портов"	+/–
Сообщение от agubernatorov on 11-Сен-14, 20:34
Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это — http://sysadm.pp.ua/linux/iptables-antiscan.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема