Материалът не е готов, докато тук изхвърлени бележки и информация
храна за размисъл.
Пренасочване (тунелиране) през пристанищата SSH
Имаме wneshnijserver и вътрешен машина зад защитна стена.
машина $ SSH -R new_port_tam: Localhost: port_nash wneshnijserver
машина $ SSH -C -L port_tam: Localhost: new_port_nash wneshnijserver
-L - за да ни плъзнете към порта на Localhost
-R - получавате нашия порт на отдалечения хост.
-C - компресиране на трафика
1. Уверете се, че данните за вход от Интернет към вътрешната машина
машина $ SSH -R 2222: Localhost: 22 wneshnijserver
wneshnijserver @ потребителско име парола:
wneshnijserver $
wneshnijserver $ NETSTAT -an | Впиши 2222
TCP 0 0 127.0.0.1:2222 0.0.0.0:* СЛУШАЙ
wneshnijserver $ SSH -p 2222 Localhost # ако машина SSH2
wneshnijserver $ SSH -1 -p 2222 Localhost # ако машина SSH1
2. Отидете на вътрешността на устройството на външната порта, защитата и skompressovav
трафик
машина $ SSH -C-L 3128: Localhost: 8080 wneshnijserver
машина $ NETSTAT -an | Впиши 8080
TCP 0 0 127.0.0.1:8080 0.0.0.0:* СЛУШАЙ
Netscape> предпочитания> Proxy> Localhost: 8080
TCPwrapper: hosts.deny
# / И т.н. / домакини / отричат
#
# Забранете, изпратете имейл предупреждение до корен.
ALL. ALL. \
банери / и т.н. / банери / отричат. \
мицел (\
/ Bin / ехо -e "\ н \
TCP Опаковчици \: Връзката е отказана \ н \
С \: $ (uname -н) \ н \
Процес \ :. (PID% п) \ п \
\ N \
Потребителят \:% U \ н \
Водещ \:% в \ н \
Дата \: $ (дата) \ н \
"| / Bin / поща -s" $ (uname -н) обвивки \ :. отказано% в "\
корен @ Localhost)
Това ще откаже достъп на всеки не е изрично позволено (от
/etc/hosts.allow), даде банери съобщение (специфични за демон същество
нарича - виж човека страници) и генерира много информативна пощенско съобщение
изпратена до корен. (Можете да добавите други получатели на тази линия, между другото).
Ние открихме, че това е много полезно тук.
[Mod: Някои отбеляза, че неща като "% ф" са "контролирана клиент" и
може да се използва, за да се възползва система на Тони. Ръководството обаче твърди:
така че трябва да се оправи. - REW]
Но аз все още предпочитат да пишат тези лог файлове във файл, а не да се напряга си send-
поща - в противен случай на нападателя да се увеличи честотата на опитите за започване на колата ми.
Как ipfILTER нулира статистиката без да се налага да се рестартира?
IPF -Z-F my_ipfilter_rules_file
За да използвате SSH1 SSH2 същото време е необходимо да се:
1. Поставете SSH-02.01.26 (първи!)
2. Поставете SSH-2.x.x
3. В "sshd2_config" добави (може би промяна на начина):
Ssh1Compatibility да
Sshd1Path / ЮЕсАр / sbin / sshd1
4. "ssh2_config" добави (може би промяна на начина):
Ssh1Compatibility да
Ssh1Path / ЮЕсАр / хамбар / SSH1
Конфигуриране на ограниченията за достъп до SSH2 не е лесно, така че най-лесният начин -
стартирайте го през inetd.conf и регулира достъпа стандартни файлове TCP-wrappera hosts.allow / hosts.deny
/etc/inetd.conf
SSH2 поток TCP nowait корен / ЮЕсАр / sbin / tcpd sshd2 -i
/etc/hosts.allow
sshd2. 123.232.175.0/255.255.255.0, 127.0.0.0/255.0.0.0, 234.567.890.12
DDoS.
автомобил, който бих искал да се защити срещу DDoS атаки, като например син-наводнение + ICMP наводнение,
съхранява в уеб-сървър (Apache) работно състояние, докато DDoS подлежащи на закриване, || филтриране на доставчика на лявата ядра нагоре (за тези, които са в резервоара -> вероятност от атака е доста голям).
Операционна система: FreeBSD 4.9
някои опции на ядрото:
опции IPFIREWALL
опции IPFIREWALL_VERBOSE
опции IPFIREWALL_VERBOSE_LIMIT = 100
опции IPFIREWALL_DEFAULT_TO_ACCEPT #need?
опции TCP_DROP_SYNFIN
опции RANDOM_IP_ID
опции ICMP_BANDLIM
някои правила ipfw:
позволи TCP от всеки и да е ограничение SRC-вр 10 #UPDATE: струва ли или не?
позволи ICMP от всеки за мен в icmptypes 0,3,4,11,12
позволи ICMP от мен и да е
отрече TCP от всеки да ме tcpoptions MSS, прозорец ,! чувал, TS ,! куб.см.
отрече IP от всеки за всеки
sysctl.conf изглежда така:
net.inet.tcp.blackhole = 2
net.inet.udp.blackhole = 1
net.inet.tcp.sendspace = 131,072
net.inet.tcp.recvspace = 131,072
net.link.ether.inet.max_age = 1200
net.inet.ip.sourceroute = 0
net.inet.ip.accept_sourceroute = 0
net.inet.icmp.bmcastecho = 0
net.inet.icmp.maskrepl = 0
kern.ipc.somaxconn = 1024
net.inet.tcp.drop_synfin = 1
net.inet.tcp.delayed_ack = 0
net.inet.ip.portrange.last = 50000
et.inet.tcp.rfc1644 = 1
et.inet.tcp.rfc1323 = 0
net.inet.icmp.drop_redirect = 1
net.inet.icmp.log_redirect = 1
net.inet.ip.redirect = 0
net.inet6.ip6.redirect = 0
kern.maxfiles = 65535
net.inet.ip.fw.one_pass = 0
имате идея postavat сумтене да се предотврати старт chaildov Apache нереалистично за връзки, но не се случи така, че той сумтене ядат твърде много ресурси?
То може да бъде някой, на практика е изправена пред подобен проблем и да споделя някои идеи?
UPD: от отворени портове нападател вижда само 80 (SSH достъпна само от своите домакини).
Сървър стои на голям доставчик 100Mbt канал, т.е. Това означаваше, че каналът се изправи.
mod_throttle за Apache
От общи съображения, ако има вероятност от атака, клане опитва всичко до максимум, включително ICMP. Необходимо е да се измери до скорост, за да влезете и да се измери отвътре. Оставете само SSH и тези от услугите, които са необходими в публично достъпна за тези, които не са в акаунта си. Което им позволява да се реагира чрез TCP само в присъствието на установената сесия. А сумтене, няма да ви помогне, само за да погълне ресурсите - не, така че той е написал, всъщност. )
За вашата мрежа може на практика нищо не каза - не, когато сървърът е жив, нищо на нея, освен Apache или който и да е функция носи. По-трудно да се отговори по-подробно.
(Отговор) (резба)
на отворени портове нападател вижда само 80 (SSH е достъпна само от своите домакини).
Сървър стои на голям доставчик 100Mbt канал, т.е. Това означаваше, че поставката на канал или "байпасен това ограничение хардуер не е възможно :)".
(Отговор) (Up) (Тема)
Не се ли страхувате от атака от "своите", или заедно с spufom?
С ipfw не е възможно, но ако сложиш пред прост сървър рутер с IPTABLES (като всяка страна на листа в древния i486), можете да се придържаме към разширяването на струни и се филтрира пакетите съдържание, както е предложено например в snort2iptables. Наистина, за всеки известен използват подпис може да се намери и да зададете правило log'n'drop. Що се отнася до потопа от банална, нека тя ще Rauter.
Всъщност, схемата не е нов, но почти нерушимост, с компетентен изпълнение.
(Отговор) (Up) (Тема)
за рутер - може би това е опция, но, за съжаление, доста трудно изпълнява в условия за съвместно ползване.
Може би нещо друго освен ipfw? Аз ще се радвам да чуя lubye съвети по въпроса.
(Отговор) (Up) (Тема)
на добър час. Аз препоръчвам Вижте настройка време за изчакване на различни видове връзки.
Е, ако на "своята" и "чужди" удря чрез различни интерфейси, а след това ipfw може да се каже да се прави разлика между някой, който може да комуникира чрез закрит въпрос.
Ако се вгледате в Linux сървърни регистрационни файлове, можете да намерите голям брой
съобщения от Sshd на демон, показателни за опит за SSH избор парола.
IPTABLES -A INPUT -p TCP -м състояние --state NEW --dport 22 -m скорошно --update --seconds 20 -j DROP
IPTABLES -A INPUT -p TCP -м състояние --state NEW --dport 22 -m скорошно --set -j ACCEPT
конфигурирате шлюз protstogo
# Iptables -F INPUT
# Iptables -A INPUT -m състояние -държава Eastablished, СВЪРЗАНИ -j ACCEPT
# Iptables -A INPUT -i ето -j ACCEPT
# Iptables -P INPUT DROP
# Iptables -F FORWARD
# Iptables -P FORWARD ACCEPT
# Iptables -t NAT -F
# Iptables -t NAT -A POSTROUTING -o -j SNAT да
# Ако динамичен IP
# Iptables -t NAT -A POSTROUTING -o -j маскарад
Свързани статии