The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Активное противодействие сканирован..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Активное противодействие сканирован..."  +/
Сообщение от auto_tips on 18-Янв-10, 12:08 
Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для блокирования на определенное время IP, обратившегося по неактивному номеру порта.

   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   iptables -A INPUT -p all -i lo -j ACCEPT
   iptables -A OUTPUT -p all -o lo -j ACCEPT

   # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
   iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
   iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP

   iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на нестандартный порт, его будет не так просто обнаружить.

URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_17.html
Обсуждается: https://www.opennet.ru/tips/info/2267.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Активное противодействие сканированию портов"  +/
Сообщение от фейри on 18-Янв-10, 12:08 
Таким же образом защищаем сеть за роутером.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Активное противодействие сканированию портов"  +/
Сообщение от Новодворская on 18-Янв-10, 12:16 
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

это просто фееричный пинцет...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Активное противодействие сканированию портов"  +/
Сообщение от adm (??) on 18-Янв-10, 12:39 
спасибо пригодится
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Активное противодействие сканированию портов"  +/
Сообщение от Pahanivo email(ok) on 18-Янв-10, 14:05 
...
и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Активное противодействие сканированию портов"  +/
Сообщение от Аноним (??) on 18-Янв-10, 14:15 
в каком году уважаемый видел последний раз фтп сервер в активном режиме?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Активное противодействие сканированию портов"  +/
Сообщение от pavlinux (ok) on 18-Янв-10, 15:29 
> iptables -P OUTPUT DROP

Угу...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Активное противодействие сканированию портов"  +/
Сообщение от Pahanivo email(ok) on 18-Янв-10, 15:35 
>в каком году уважаемый видел последний раз фтп сервер в активном режиме?
>

ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и проблема не такая явная, но она сеть )

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Активное противодействие сканированию портов"  +/
Сообщение от pavlinux (ok) on 18-Янв-10, 16:35 
nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112  -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;

Interesting ports on 192.168.20.1:
PORT    STATE    SERVICE VERSION
109/tcp closed   pop2
110/tcp closed   pop3
111/tcp filtered rpcbind
112/tcp closed   mcidas
MAC Address: 00:A0:D1:53:B0:EA (Inventec)

Опа, фильтрует...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Активное противодействие сканированию портов"  +/
Сообщение от KdF (??) on 18-Янв-10, 16:59 
Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть, можно пожелать удачи в использовании активного FTP и дальше.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Активное противодействие сканированию портов"  +/
Сообщение от User294 (ok) on 18-Янв-10, 18:46 
>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,

И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но чреват побочными эффектами, при том еще большой вопрос от кого будет хуже - от этих спецэффектов или от сканов портов (а собственно какой от них вред, по большому счетй?).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Активное противодействие сканированию портов"  +/
Сообщение от Square (ok) on 18-Янв-10, 20:04 
# любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
  
и отправив пакет от имени этого адреса - легко организуем DOS для него
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Активное противодействие сканированию портов"  +/
Сообщение от Andrey Mitrofanov on 18-Янв-10, 20:38 
Вас очень смущает http:/openforum/vsluhforumID10/4466.html#7 то, что вы чего-то http:/openforum/vsluhforumID10/4466.html#11 не понимаете, и Вы хотите об этом пого^Wвсем нам рассказать?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Активное противодействие сканированию портов"  +/
Сообщение от Andrey Mitrofanov on 18-Янв-10, 20:49 
>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть

Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Активное противодействие сканированию портов"  +/
Сообщение от Egenius (??) on 19-Янв-10, 12:21 
Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Активное противодействие сканированию портов"  +/
Сообщение от ffsdmad (ok) on 19-Янв-10, 12:32 
Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF

но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Активное противодействие сканированию портов"  +/
Сообщение от Andrey Mitrofanov on 19-Янв-10, 13:29 
>Интересный пример
>но как смысл в

Если Вы почитаете страничку (google.ru + "-m recent") модуля recent, то с удивлением узнаете, что:
1/ это штатное его применение описанное автором---
2/ смысл не в "блокировании" просто абы кого, а блокировании тех, кто, типа, ломился (более трёх раз за 120с)+++

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Активное противодействие сканированию портов"  +/
Сообщение от Pahanivo email(ok) on 19-Янв-10, 14:46 
>>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,
>
>И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но
>чреват побочными эффектами, при том еще большой вопрос от кого будет
>хуже - от этих спецэффектов или от сканов портов (а собственно
>какой от них вред, по большому счетй?).

ны дык я привел самый распространненый и злободневный пример ))
изначально понятно что данный метод параноя на гране маразма ...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Активное противодействие сканированию портов"  +/
Сообщение от pavlinux (ok) on 19-Янв-10, 14:56 
> (более трёх раз за 120с)

1. А где написано про "более трёх раз"?
2.   --hitcount 3 надо добавлять
3. И не раз, а не более x TCP пакетов c флагом NEW

А при сканировании можно ведь и не указывать NEW  

А так же есть ip spoofing  указав, например

for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done;

Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Активное противодействие сканированию портов"  +/
Сообщение от pavlinux (ok) on 19-Янв-10, 15:12 
>>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть
>
>Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?

Ты чаво, такую тему пропустил!!! Пред Новым годом было

https://www.opennet.ru/opennews/art.shtml?num=24832

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Активное противодействие сканированию портов"  +/
Сообщение от Аноним (??) on 19-Янв-10, 17:35 
> Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.

Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех транзитных провайдеров что бы они пропустили через свои сети spoofed IP адреса от пользователей.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Активное противодействие сканированию портов"  +/
Сообщение от Andrey Mitrofanov on 19-Янв-10, 19:22 
>Ты чаво, такую тему пропустил!!! Пред Новым годом было

Угу, прощёлкал... Видимо принял за британских учёных с фороникса. :/

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Активное противодействие сканированию портов"  +/
Сообщение от Basiley (ok) on 19-Янв-10, 21:27 
изобретаем PSAD ?
или что-то типа FWSnort ?
автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Активное противодействие сканированию портов"  +/
Сообщение от adm (??) on 19-Янв-10, 21:56 
Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
альтернативный пример использования описаного метода
sshd вешаем на нестандартный порт 5173
прописываем такие правила
iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP

теперь почти не реально узнать есть ли на удаленной хосте что  нибудь или нет

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Активное противодействие сканированию портов"  +/
Сообщение от syd on 20-Янв-10, 11:36 
Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
По сабжу - параноидальный бред, который рождает кучу гемороя.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Активное противодействие сканированию портов"  +/
Сообщение от koffu email(??) on 20-Янв-10, 22:39 
>изобретаем PSAD ?
>или что-то типа FWSnort ?
>автору - поставьте задачу ТОЧНЕЕ, пожалуйста.

У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
а перед ним --state ESTABLISHED,RELATED -j ACCEPT

А еще можно поизвращаться в виде сброса 60% пакетов.

Есть также есть технология port knocking.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Активное противодействие сканированию портов"  +/
Сообщение от reminux on 20-Янв-10, 23:22 
Хорошо придумано.
Но по-моему можно еще проще: вторую строку записать как

iptables -A INPUT -m recent --set --name FUCKOFF -j DROP

и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Активное противодействие сканированию портов"  +/
Сообщение от OSO (ok) on 21-Янв-10, 22:20 
Вам же сказали про пинцет под названием REJECT
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Активное противодействие сканированию портов"  +/
Сообщение от Basiley (ok) on 21-Янв-10, 22:46 
IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.

про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Активное противодействие сканированию портов"  +/
Сообщение от Аноним (??) on 23-Янв-10, 02:00 
Мсье знает толк в извращениях...
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Активное противодействие сканированию портов"  +/
Сообщение от що on 15-Июн-10, 02:41 
ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

32. "Активное противодействие сканированию портов"  +/
Сообщение от Аноним email(??) on 25-Июл-14, 17:30 
Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Активное противодействие сканированию портов"  +/
Сообщение от agubernatorov email on 11-Сен-14, 20:34 
Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это — http://sysadm.pp.ua/linux/iptables-antiscan.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру