Как защитить себя от ФЛУДА?
-
TechNoir
- Маньяк
- Сообщения: 179
- Зарегистрирован: 27 май 2002, 16:04
- Откуда: Moscou
- Контактная информация:
Как защитить себя от ФЛУДА?
На моей машине входящие TCP и UDP соединения "отбрасываются".
Так настроен мой FireWall.
Однако я разрешил любые icmp пакеты через мою машину.
Удаленный "консультант" заявил мне что у меня нет защиты от FLOOD.
Так вот я теперь думаю может быть это связано именно с тем, что можно теперь бомбить мою машину ICMP-пакетами.
Стоит ли мне запретить прохождение ICMP-пакетов?
На машине никаких сервисов для внешних клиентов нет.
На ней NAT и Прокси.
Спасибо!
Учись или уходи!
-
Anonymous
напримерГость писал(а):Что есть Флуд?
man 8 ping писал(а): NAME
ping - send ICMP ECHO_REQUEST packets to network hosts
SYNOPSIS
ping [-dfnqrvR] [-c count] [-i wait] [-l preload] [-p pattern]
[-s packetsize]
...
-f Flood ping. Outputs packets as fast as they come back or one
hundred times per second, whichever is more. For every
ECHO_REQUEST sent a period ``.'' is printed, while for ever
ECHO_REPLY received a backspace is printed. This provides a
rapid display of how many packets are being dropped. Only the
super-user may use this option. This can be very hard on a net╜
work and should be used with caution.
...
-
Anonymous
Re: Как защитить себя от ФЛУДА?
нет запрещаь icmp пакеты не стоит можно ограничит их количество в единицу времени (за подробностями документацию по iptables)Boris FR писал(а):
На моей машине входящие TCP и UDP соединения "отбрасываются".
Так настроен мой FireWall.
Однако я разрешил любые icmp пакеты через мою машину.
Удаленный "консультант" заявил мне что у меня нет защиты от FLOOD.
Так вот я теперь думаю может быть это связано именно с тем, что можно теперь бомбить мою машину ICMP-пакетами.
Стоит ли мне запретить прохождение ICMP-пакетов?
На машине никаких сервисов для внешних клиентов нет.
На ней NAT и Прокси.
Спасибо!
Хм, самое грамотно, что можно сделать - это разобраться, какие пакеты тебе действительно нужны.
0) Пинги ИМХО вырубаем сходу
1) Для отстальных мне нравится такое правило
iptables -A t filter -p icmp -m limit --limit 1/sec - это нормальные настройки для хоста - так кстати в солярке по умолчанию было когда-то. Для шлюза можно аккуратно подкрутить вверх.
2) Также следует безжалостно дропать icmp у которых ip dst отличными от твоего хоста - в том числе и групповые - это и есть FLOOD
3) Я вобще рекомендовал бы делать всем хильтрованм пакетам именно drop а не reject, т.к. часто при сканировании сетей машине подсовывают заведомо порченые пакеты. Если посылается icmp об ошибке - значит на этом адресе точно есть хост, кроме того, по тому, как реагрует система на ошибки можно определить ее тип и, возможно, версию
4) Правильный набор правил начинается с
Имхо имеет смысл вообще запретить UDP - единственно место, откуда стоит принимать сообщения UDP - это DNS сервера провадера - юзвери внутри сети пусть кушают свой DNS - если влом поднимать кэширующий bind (хотя это просто и недолго) можно поставить nscd или друго DNS-proxy
0) Пинги ИМХО вырубаем сходу
1) Для отстальных мне нравится такое правило
iptables -A t filter -p icmp -m limit --limit 1/sec - это нормальные настройки для хоста - так кстати в солярке по умолчанию было когда-то. Для шлюза можно аккуратно подкрутить вверх.
2) Также следует безжалостно дропать icmp у которых ip dst отличными от твоего хоста - в том числе и групповые - это и есть FLOOD
3) Я вобще рекомендовал бы делать всем хильтрованм пакетам именно drop а не reject, т.к. часто при сканировании сетей машине подсовывают заведомо порченые пакеты. Если посылается icmp об ошибке - значит на этом адресе точно есть хост, кроме того, по тому, как реагрует система на ошибки можно определить ее тип и, возможно, версию
4) Правильный набор правил начинается с
Код: Выделить всё
iptables -P INPUT DENY
iptables -t filter -A INPUT -p tcp -j TCPCHAIN (ну или ACCEPT)
Опыт растет прямо пропорционально выведенному из строя оборудованию
