Pokaż wyniki 1 do 8 z 8

Temat: iptables tcpdump wireshark

  1. #1

    Domyślnie iptables tcpdump wireshark

    Witam,

    pracuje ciezko nad firewallem

    pokrotce wyglada on tak:

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    #blokuje skany
    iptables -A skany -p tcp --tcp-flags ALL RST -j DROP
    iptables -A skany -p tcp --tcp-flags ALL ACK -j DROP
    iptables -A skany -p tcp --tcp-flags ALL FIN -j DROP

    #syn flood
    iptables -N syn-flood
    iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
    iptables -A syn-flood -j DROP

    #wpuszczam reszte
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #otwieram porty..
    iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
    itd..

    te regulki sa sklecone z tego co znalazlem w necie.. nie widaje mi sie ze jest to idealne rozw. bo np. czesto zdarza sie ze mam 50+ polaczen z jednego IP z flaga SYN_RECV.. wyglada na jakis flood.

    zrobilem zrzut tcpdumpa:

    /tcpdump -i eth1 -C 5 -n -q -s 0 -w /tmp/packet_dump

    otworzylem to w wiresharku ale nie bardzo wiem jak sie za to zabrac.. wiem tylko ze jest sporo czerwonego i czarnego

    czy ktos moze pomoc?

    pzdr.

  2. #2

    Domyślnie

    ok, brak odpowiedzi odbieram ze byloby za duzo do tlumaczenia..

    w takim razie moze tos powie czego brakuje w tym firewallu?

    co najbardziej rzuca sie w oczy to to ze nie stosuje interfejsow, ani lokalnych ani zewnetrznych.

    czy sa one konieczne? co one tak naprawde daja?


    inne uwagi?

  3. #3

    Domyślnie

    ok, ide do przodu

    analiza logu snorta:


    11:37:39.209322 IP 166.70.240.21 > 66.228.xx.xx: ip-proto-255 149
    [email protected] Count: 33
    Connection Count: 1024
    IP Count: 1889
    Scanner IP Range: 212.43.1.1:81.192.250.254
    Port/Proto Count: 30
    Port/Proto Range: 80:61702

    11:37:39.209323 IP 166.70.240.21 > 66.228.xx.xx: ip-proto-255 14
    E.."[email protected] Port: 80

    11:38:49.737729 IP 71.236.146.10 > 66.228.xx.xx: ip-proto-255 149
    E..."\@....7G..
    B...Priority Count: 43
    Connection Count: 1313
    IP Count: 2572
    Scanner IP Range: 64.75.73.0:189.46.248.254
    Port/Proto Count: 30
    Port/Proto Range: 80:60048

    11:38:49.737730 IP 71.236.146.10 > 66.228.xx.xx: ip-proto-255 14
    E..""\@.....G..
    B...Open Port: 80


    czy ktos widzi cos podejrzanego?

    ip-proto-255 ?

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał booli Zobacz post
    te regulki sa sklecone z tego co znalazlem w necie.. nie widaje mi sie ze jest to idealne rozw. bo np. czesto zdarza sie ze mam 50+ polaczen z jednego IP z flaga SYN_RECV.. wyglada na jakis flood.
    Jesli masz jakis serwer odpalony (pewnie to powoduje ze masz takie polaczenia w takiej ilosci) to ustaw filtr anty-flood nieco bardziej precyzyjnie, tzn zrob jeden filtr dla tej uslugi z odpowiednio wyzszymi wartosciami i drugi filtr generalnie dla wszystkiego innego. Ten dla uslugi wstaw jako pierwszy... w sumie masz 2 linijki teraz, brakuje Ci jeszcze jedenej i to powinno zalatwic zwrotki na porcie tej uslugi
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5

    Domyślnie

    co do syn-flood, nie bylo przekazania do lancucha INPUT..

    mam pytanie snort generuje mnostwo alertow:

    [**] [116:58:1] (snort_decoder): Experimental Tcp Options found [**]

    Opcje wygladaja tak:

    TCP Options (7) => MSS: 1360 NOP NOP SackOK Opt 76 (8): 0101 CA9B 60A3 0005 NOP EOL

    czyli jak widac jest to 76.

    zablokowalem pakiety z tcp-option 76, ale nadal snort loguje te alerty.

    co jest nie tak?

    pzdr.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Zablokowales regulka w iptables a snort dziala w trybie promiscous, wiec nawet jak iptables cos wycina to snort i tak bedzie to widzial.

    W 2001 napisalem prosty skrypt analizujacy w locie logi snorta i wycinajacy atakujacych na firewallu. Bylem bardzo zaskoczony, ze pomimo wyciecia kolesia (DROP na pakietach z jego IP) ataki trwaly nadal i Snort reagowal... promiscous wyjasnia takie zachowanie.

    Jesli nie chcesz tych alertow to musisz wylaczyc ta regulke i tyle.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7

    Domyślnie

    hm.. tak tez wlasnie myslalem, imialoby to sens, tyle ze jesli wykonam np skan FIN w nmapie (ktory jest blokowany w iptables), to snort juz tego nie widzi..

    co do tych opcji TCP 76, wie ktos skad to sie bierze?

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Moze nie widziec bo moze nie traktuje tego jako skanu albo nie masz wlaczonych jakichs regulek. Sprawdz dokladnie pliki regul snorta. Sadze ze tam znajdziesz odpowiedz (na pewno na drugie pytanie tam bedzie odpowiedz)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Instalacja IPTABLES
    By judin in forum Linux
    Odpowiedzi: 13
    Autor: 09-09-2010, 00:33
  2. Odpowiedzi: 4
    Autor: 06-25-2008, 10:31
  3. iptables + nat +dmz
    By markossx in forum Security
    Odpowiedzi: 6
    Autor: 02-16-2007, 12:34
  4. LMS + IPTables
    By szpuni in forum Linux
    Odpowiedzi: 1
    Autor: 10-10-2006, 14:59

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj