Спроба розібратися в анти-TCP SYN поведінці атаки IPTables

0

Зараз я працюю над завданням університету. Я дізнаюся про брандмауери, і мені потрібно налаштувати IPTables на машині Ubuntu, щоб запобігти Атака потоку TCP SYN .

Я розумію, що цей тип атаки полягає в тому, щоб відправити серверу велику кількість запитів SYN, не слідуючи після цього ACK після відповіді SYN-ACK, в результаті чого сервер чекає і тому витрачає свої ресурси.

Шукаючи Інтернет, я знайшов це правило IPTables на декількох веб-сайтах: 

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Я не можу зрозуміти, як цей запис повинен запобігти атаці. Я розумію, що це "Відкинути нове з'єднання TCP без прапора SYN".

iptables  tcp  denial-of-service 
frank_volpi
джерело
можливо, ви можете спробувати скористатися перемикачем "нечистий матч" або "обмеження відповідності". напр. iptables -A FORWARD -p tcp --syn -m limit - обмеження 1 / s -j ACCEPT
Tech-IO

Відповіді:

0

Це правило iptables не перешкоджатиме атакам з потоком SYN. Як ви говорите, він скине будь-які нові, не-SYN-пакети TCP. Він приймає тільки нові TCP-з'єднання, які включають SYN-пакет.

Щоб запобігти атакам SYN-потоку, використовуючи iptables, потрібно застосувати обмеження швидкості.

Mark Riddell
джерело
Дякую за твою допомогу. Які статті я прочитав, мали на увазі, як і раніше, таємниця, але принаймні я міг би знайти правило IPTables на основі обмеження ставок, щоб включити в моє завдання!
frank_volpi
-3

Synflood - настільки застаріла техніка, як winnuke. Ядро Linux включає власний захист (net.ipv4.tcp_syncookies) 1999 (!), тому ваша єдина робота полягає в тому, щоб увімкнути її за допомогою sysctl - але це за замовчуванням протягом тривалого часу. 

sysctl net.ipv4.tcp_syncookies=1
Ipor Sircer
джерело
Питання спеціально вимагає роз'яснення щодо добре відомого правила IPTables, щоб запобігти повеням SYN, а не альтернативним методом запобігання повеням SYN.
JakeGould
Це рекомендований метод з 1999 року, тому використання iptables безглуздо. Якщо це було добре відомі Правило, то він вже знайшов його через пошук в Інтернеті.
Ipor Sircer
Прочитайте запитання ще раз: «Зараз я працюю над університетським завданням. Я дізнаюся про брандмауери, і мені потрібно налаштувати iptables на машині ubuntu, щоб запобігти нападу TCP Syn. Завдання фокусується на брандмауерах і запитує пояснення як це правило IPTables працює. це є ні прохання про альтернативний метод.
JakeGould
Потік SYN застарів? Huh. Тому вона не використовується як ключова частина Mirai ботнет який був відповідальний за атаку 620 Гбіт / с Веб-сайт Кребса або на 1.2 Tbit / s Dyn ? Так, звучить досить тривіально, як мені winnuke.
Mark Riddell
Я розумію, що ви захоплені цією темою, але я повинен перейти до призначення сьогодні і досі не знаю, чому це правило IPTables має запобігти атаці.
frank_volpi
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.