Как предотвратить ip spoofing внутри iptables?

Мой веб-server Apache в Linux заливается массивными requestами на несуществующий file. Непосредственным результатом является быстрый рост журнала доступа и ошибок. Я уже позаботился об этом, не регистрируя эти requestы (если он соответствует конкретной строке). Мы говорим о 40-50 requestах в секунду из нескольких IP-адресов (для одного и того же fileа).

Сначала я думал о том, что это ботless, но я считаю, что это какой-то скрипт-кидди, который обманывает исходный ip. Я запускаю iptables на serverе, и мне было интересно, как эти пакеты достигли уровня приложения (HTTP-server), минуя начальное рукопожатие TCP / IP? Если бы у меня был:

--Default Policy for INPUT chain is to DROP <snip> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <...> <snip> iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 

… не должен ли SYN / ACK мой server отвечать – после первоначального requestа на connection – отправляться на поддельный ip? И поэтому потерял? И если создаются пакеты, которые, как представляется, связаны с установившейся связью, следует, чтобы механизм отслеживания состояния netfilter обрабатывал это (через линию RELATED, ESTABLISHED выше) и признал их не частью установленного sessionа и, следовательно, ОТКРЫВАЛ их (через политику по умолчанию: DROP)?

Заранее спасибо, Craconia

pd requestы поступают из действительных интерless-адресов.

Даже если они обманывают исходный IP, для установления соединения с Apache требуется подkeyение к сети SYN / ACK TCP. Это эффективно предотвращает подделку TCP-соединения. Таким образом, вы можете быть уверены, что все соединения сделаны из IP-адресов, которые вы можете viewеть в журналах.

Бот-networking или открытый proxy-server являются более вероятным. Это или уязвимость на веб-странице где-то. Классический эксплойт заkeyается в встраивании ссылки на большой object на ваш веб-server в HTML-websiteе, заставляя всех клиентов ударять ваш веб-server, пытаясь извлечь object с вашего serverа …

Ваши правила IPTABLES имеют смысл сейчас;)

Правила iptables в порядке. Больше нечего делать в конtextе вашего брандмауэра, кроме того, что вы не поймаете кого-то, использующего маршрутизацию источника. В ядре Linux есть параметр, называемый rp_filter (filter обратного пути), который вы можете вkeyить, чтобы блокировать пакеты, которые указывают маршрут источника. Поскольку routing источника почти никогда не используется вне диагностических конtextов, безопасно блокировать такие пакеты.

В большинстве систем Linux есть /etc/sysctl.conf , который содержит настройки ядра. Добавьте следующие строки в этот file:

 net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1 

а затем перезагрузитесь, чтобы установить эти variables. Кроме того, вы можете установить их во time выполнения на ваших индиviewуальных сетевых interfaceах обычными способами, например

 echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter echo 1 > /proc/sys/net/ipv4/conf/eth1/rp_filter ... 

или

 sysctl -w net.ipv4.conf.eth0.rp_filter=1 sysctl -w net.ipv4.conf.eth1.rp_filter=1 ... 

Как вы устранили возможность ботlessа?

Может ли злоумышленник использовать IP Source Routing ?


сверху URL

К сожалению, routing источника часто злоупотребляется злонамеренными пользователями в Интерlessе (и в других местах) и используется для создания машины (A), полагая, что она разговаривает с другой машиной (B), когда она действительно разговаривает с третьей машиной ( С). Это означает, что C имеет контроль над IP-адресом B для некоторых целей.

Согласно статье Microsoft

Удаленный злоумышленник может попытаться get доступ к системе UNIX, защищенной shellми TCP, или к Интерless-serverу IIS, защищенному списком доступа на основе исходных адресов. Если злоумышленник просто обманывает один из разрешенных исходных адресов, злоумышленник может никогда не get ответ. Тем не менее, если злоумышленник обманывает адрес и устанавливает параметр «свободный источник», чтобы заставить ответ вернуться в networking злоумышленника, атака может быть успешной.

(мой акцент)

  • Блокировка внешней почты, отправленной с адресом электронной почты с паролями
  • Вход в систему ISP, спуфинг MAC, WiFi и несколько устройств
  • Использование SPF для защиты от обмана
  • Можно ли переопределить одно доменное имя с помощью dnsmasq?
  • Что произойдет в сети, если несколько устройств имеют один и тот же MAC-адрес?
  • Насколько надежны ограничения брандмауэра на основе IP-адресов?
  • Поиск поддельного IP-адреса в сети
  • Неправильный ответ DNS с CNAME и A Record в то же time
  • Если я использую iptables, чтобы разрешать TCP-соединения только с определенного IP-адреса, может ли он быть фальсифицирован?
  • ISA-server отбрасывает пакеты, поскольку считает, что они подделаны
  • Linux-KVM / iptables: запретить подгон спутников путем сопоставления IP + MAC-адреса на мосту?
  • Давайте будем гением компьютера.