คุณสามารถเรียนรู้วิธีการแก้ไข MikroTik ได้ที่ คอร์สออนไลน์จากการครอบครองวิรอบนิค ผู้เขียนหลักสูตรคือผู้ฝึกสอนที่ผ่านการรับรองจาก MikroTik คุณสามารถอ่านรายงานสำหรับบทความตัวอย่าง

บทความแสดงอำนาจในการบล็อกการรับส่งข้อมูล ICMP อย่างไม่ปลอดภัย

ICMP - แอปเปิ้ลถึงน้องชาย

บากาโต ผู้ดูแลระบบ merezhevіสิ่งสำคัญที่ควรทราบคือ Internet Control Message Protocol (ICMP) เป็นภัยคุกคามต่อความปลอดภัยและเป็นโทษสำหรับการบล็อกใน . อย่าปิดกั้นการรับส่งข้อมูล ICMP ทั้งหมด!

การรับส่งข้อมูล ICMP อาจมีหน้าที่สำคัญมากมาย ตามกฎแล้วสำหรับการแก้ไขปัญหาอื่น ๆ ที่จำเป็นสำหรับการทำงานที่ถูกต้องของการวัด ด้านล่างนี้เป็นบทสรุปของการกระทำที่สำคัญของคลังสินค้าตามโปรโตคอล ICMP เกี่ยวกับขุนนางที่มีความผิด ต่อไป ให้คิดว่าวิธีที่ดีที่สุดในการส่งผ่านตาข่ายของคุณ

ก้องถามและก้องชัดเจน

IPv4 - คำขอ Echo (Type8, Code0) และคำขอ Echo (Type0, Code0)
IPv6 - คำขอ Echo (Type128, Code0) และคำขอ Echo (Type129, Code0)

เราทุกคนรู้ดีว่า ping เป็นหนึ่งในเครื่องมือแรกๆ สำหรับการ ping และการแก้ไขปัญหา ดังนั้น หากคุณตรวจสอบการประมวลผลแพ็กเก็ต ICMP ของคุณเอง นั่นหมายความว่าโฮสต์ของคุณพร้อมสำหรับการแสดงผลแล้ว แต่โฮสต์ของคุณไม่ฟังพอร์ต 80 อีกต่อไปและไม่ได้บังคับคำขอของไคลเอ็นต์ใช่หรือไม่ เห็นได้ชัดว่า บล็อกการโทรอื่นๆ ทั้งหมด เนื่องจากคุณทราบดีว่า DMZ ของคุณอยู่ที่ชายแดน แต่การปิดกั้นการรับส่งข้อมูลของ ICMP ตรงกลางรั้วของคุณนั้น คุณไม่สามารถช่วยได้ คุณจะนำระบบออกไปพร้อมกับกระบวนการที่ยุบได้ทางโลกอย่างล้นหลาม โดยการแหย่ไปรอบๆ และแก้ไขการทำงานผิดปกติ ("ย้อนกลับ ได้โปรด คุณเห็นเกตเวย์บน รั้ว?” อย่าพูดอะไรกับฉัน!”)

จำไว้ว่าคุณสามารถอนุญาตให้ส่งเครื่องดื่มจากนักร้องได้โดยตรง ตัวอย่างเช่น ตั้งค่าเพื่อให้คำขอ Echo จากเครือข่ายของคุณส่งผ่านอินเทอร์เน็ต และเสียง Echo จะดังขึ้นจากอินเทอร์เน็ตจากเครือข่ายของคุณ แต่ไม่ใช่ในทางกลับกัน

ต้องการการแยกส่วนแพ็คเก็ต (IPv4) / แพ็คเก็ตขนาดใหญ่เกินไป (IPv6)

IPv4 - (Type3, Code4)
IPv6 - (ประเภทที่ 2, Code0)

ส่วนประกอบเหล่านี้ของโปรโตคอล ICMP ก็มีความสำคัญเช่นกัน แต่เป็นส่วนประกอบสำคัญของ Path MTU Discovery (PMTUD) ซึ่งไม่ได้เป็นส่วนหนึ่งของโปรโตคอล TCP อนุญาตให้สองโฮสต์ปรับค่า TCP Maximum Segment Size (MSS) เป็นค่าที่จะบอกให้ MTU ที่เล็กที่สุดสื่อสารระหว่างสองปลายทาง ถ้าระหว่างทางที่แพ็กเก็ตจะผ่านรถบัสที่มี Maximum Transmission Unit ที่เล็กกว่า อันล่างจะมีคนขับหรือเจ้าหน้าที่ และไม่มีเงินแสดงการชนกันนี้ การจราจรจะไม่ธรรมดา ฉันจะไม่เข้าใจสิ่งที่ได้ยินจากช่อง กล่าวอีกนัยหนึ่ง "วันที่มีความสุขจะมาถึงคุณ"

อย่าแยกส่วน - ICMP ล้มเหลว!

การส่งแพ็กเก็ต IPv4 ด้วยชุดบิต Don't Fragment (มีมากกว่านี้!) หรือแพ็กเก็ต IPv6 (โปรดจำไว้ว่า เราเตอร์ใน IPv6 ไม่มีการแตกแฟรกเมนต์ ซึ่งใหญ่เกินไปสำหรับการส่งผ่านอินเทอร์เฟซ ก่อนที่เราเตอร์จะรับรู้ แพ็คเก็ตรูปแบบการถ่ายโอน dzherel นี้ด้วยการให้อภัย ICMP ที่จะเกิดขึ้น: Need Fragmentation ( จำเป็นต้องแยกส่วน) หรือแพ็คเกจซานัดโตมหาราช ( แพ็กเก็ตด้วยใหญ่). แม้ว่าจะไม่สามารถกลับไปหาเจ้าหน้าที่ได้ ก็สามารถตีความความจริงที่ว่ามีการยืนยันเกี่ยวกับการจัดส่งแพ็คเก็ต ACK ได้ ( รับทราบ) ในรูปแบบของคำสั่งโอน / ใช้กับเสื้อกั๊กเพื่อส่งพัสดุอีกครั้งดังนั้นพวกเขาจะถูกปล่อยออกมา

ระบุสาเหตุของปัญหาได้ง่ายและแก้ไขกระบวนการแลกเปลี่ยนการจับมือกันของ TCP (TCP-handshake) อย่างรวดเร็วเป็นเรื่องปกติ แฟรกเมนต์ในงานใหม่เป็นแพ็กเก็ตขนาดเล็ก แต่การถ่ายโอนจำนวนมากของเซสชันการถ่ายโอนข้อมูลหยุดชะงักเนื่องจากการส่ง ไม่ได้ดูแลการให้อภัย

ติดตามเส้นทางการจัดส่งพัสดุ

จดหมายขยาย RFC 4821 เพื่อช่วยผู้เข้าร่วมในการถ่ายโอนทราฟฟิกเพื่อแก้ไขปัญหานี้ตามเส้นทางของแพ็กเก็ตทั้งหมดอย่างมีชัย (เส้นทางการค้นพบ MTU (PLPMTUD). มาตรฐานช่วยให้เปิดเผยภาระผูกพันสูงสุดของข้อมูล (หน่วยส่งสูงสุด (MTU)ซึ่งสามารถส่งโดยโปรโตคอลในการวนซ้ำหนึ่งครั้งโดยเพิ่มขนาดสูงสุดของ data frame block แบบเป็นขั้นเป็นตอน (ขนาดเซ็กเมนต์สูงสุด (MSS), เพื่อทราบขนาดสูงสุดของแพ็กเก็ตที่เป็นไปได้โดยไม่มีการแตกแฟรกเมนต์บนเส้นทางของการส่งผ่านโดยตรงจากการส่งไปยังการยอมรับ หน้าที่ของ Zmenal Zalesniy, vid ของ vidpovydi นิ้วของเขากับพ่อค้าที่อยู่เบื้องหลังโปรโตคอลของการเข้าถึง Mizhmerzheikh Keyuchny Polodidle (ICMP) ของ Bilshosti Merezhevikh มีโปรโตคอล podomlennyam สูงสุด ICMP เปลี่ยนเป็นการส่งสัญญาณ dzherel ใช่ไหม

การขนส่งไปยังชั่วโมงการโอนแพ็คเกจ

IPv4 - (Type11, Code0)
IPv6 - (Type3, Code0)

Traceroute - เครื่องมือพื้นฐานสำหรับการแก้ไขปัญหา ฟันดาบระหว่างเจ้าภาพสองคนซึ่งรายงานถึงวิธีการหนังจระเข้

การแก้ไขแพ็กเก็ตจากชั่วโมงชีวิตเป็นแพ็กเก็ตข้อมูลสำหรับโปรโตคอล IP (ไทม์ทูไลฟ์ (TTL)เท่ากับ 1 เพื่อให้เราเตอร์ตัวแรกส่งการอภัยโทษ (รวมถึงที่อยู่ IP สาธารณะ) เกี่ยวกับการถ่ายโอนเวลาชีวิตของแพ็กเก็ต มาส่งแพ็กเก็ตที่มี TTL 2 เป็นต้น ขั้นตอนนี้จำเป็นเพื่อเปิดเผยผิวหนัง vuzol บนเส้นทางสำหรับการส่งแพ็กเก็ต

NDP และ SLAAC (IPv6)

เร้าเตอร์เร้าเตอร์ (RS) (Type133, Code0)
โฆษณาเราเตอร์ (RA) (Type134, Code0)
การชักชวนเพื่อนบ้าน (NS) (Type135, Code0)
โฆษณาเพื่อนบ้าน (NA) (Type136, Code0)
เปลี่ยนเส้นทาง (Type137, Code0)

ในเวลาเดียวกัน IPv4 ชนะ IPv4 Address Allow Protocol (ARP) สำหรับการจับคู่ 2 และ 3 บรรทัดในโมเดล OSI mesh IPv6 ชนะด้วยวิธีอื่น เช่น Sustainability Detection Protocol (NDP) NDP มีฟังก์ชันที่ไม่มีตัวตน รวมถึงการตรวจหาเราเตอร์ การตรวจจับคำนำหน้า การแชร์ที่อยู่ และอื่นๆ นอกเหนือจาก NDP แล้ว StateLess Address AutoConfiguration (SLAAC) ยังอนุญาตให้กำหนดค่าโฮสต์แบบไดนามิกในเครือข่ายได้ เช่นเดียวกับแนวคิด Dynamic Host Configuration Protocol (DHCP) (แม้ว่า DHCPv6 ควรใช้สำหรับเครือข่ายที่ละเอียดอ่อนกว่า)

ICMP มีห้าประเภทเพื่อให้แน่ใจว่าโปรโตคอลข้อมูล IP ไม่ถูกบล็อกตรงกลางเครือข่ายของคุณ (ไม่ป้องกันปริมณฑลภายนอก) เพื่อให้โปรโตคอลข้อมูล IP ทำงานได้อย่างถูกต้อง

การกำหนดหมายเลขประเภท ICMP

Intermediate Messaging Protocol (ICMP) มีข้อมูลจำนวนมากที่ระบุโดยฟิลด์ "ประเภท"

คำสองสามคำเกี่ยวกับการแลกเปลี่ยนของแห้ง

แม้ว่าการแจ้งเตือน ICMP ซึ่งคล้ายกับที่อธิบายไว้ในบทความ อาจมีความถูกต้องมากกว่า แต่พึงระลึกว่าการสร้างการแจ้งเตือนทั้งหมดจะใช้เวลาหนึ่งชั่วโมงของตัวประมวลผลบนเราเตอร์ของคุณ และสร้างการรับส่งข้อมูล คุณซาบซึ้งจริง ๆ ที่คุณรับ 1,000 ping ต่อวินาทีผ่านไฟร์วอลล์ของคุณในสถานการณ์เดียวกันหรือไม่? Chi vvazhatimetsya tse การจราจรปกติ? อาจจะไม่. รั้ว ฉันจะผ่านตึกการวัดสำหรับทราฟฟิก ICMP ประเภทนี้ เมื่อคุณชำระค่าใช้จ่าย จระเข้นี้สามารถช่วยคุณในการป้องกันตาข่ายของคุณ

อ่านdoslіdzhuvatiที่razumіti

Vrahovyuchi ตามที่พูดคุยกันโดยแพ็กเก็ต ICMP "บล็อกหรือไม่บล็อก" มักนำไปที่นักต้มตุ๋น super-cheek และrazbіzhnostiฉันขอเสนอให้คุณดำเนินการหัวข้อนี้ต่อไปด้วยตัวเอง ในอีกด้านหนึ่ง ข้อความมากมายถูกส่งออกไป ฉันเคารพในความเข้าใจที่มากขึ้นเกี่ยวกับปัญหาต่างๆ ต่อไปที่จะใช้เวลาหนึ่งชั่วโมงในการอ่าน І robiti osvіdomleniya vіbіr scho scho ที่เหมาะสมที่สุดสำหรับ merezhi ของคุณ

MikroTik: ดันที่ไหน ทำอย่างไร?
สำหรับข้อดีทั้งหมด ผลิตภัณฑ์ของ บริษัท MikroTik มีหนึ่งลบ - roz'ednanoy จำนวนมากและยังห่างไกลจากการได้รับข้อมูลที่เชื่อถือได้เกี่ยวกับ її nalashtuvannya ขอแนะนำให้ตีความผิดภาษารัสเซียทุกอย่างถูกเลือกโครงสร้างเชิงตรรกะ - หลักสูตรวิดีโอ " นลัชตูวันยา กรรมสิทธิ์ของ MikroTik ". ก่อนหลักสูตรประกอบด้วยบทเรียนวิดีโอ 162 บทเรียน 45 หุ่นยนต์ห้องปฏิบัติการ, อาหารสำหรับการตรวจสอบตนเองและบทคัดย่อ. วัสดุทั้งหมดถูกทิ้งไว้โดยไม่มีเส้น สามารถดู cob ของหลักสูตรได้โดยไม่เสียค่าใช้จ่ายโดยปิดใบสมัครที่ด้านข้างของหลักสูตร ผู้เขียนหลักสูตรคือผู้ฝึกสอนที่ผ่านการรับรองจาก MikroTik

ไฟร์วอลล์ - แนวป้องกันแรกของเซิร์ฟเวอร์และของใหม่ที่เข้ามา การจัดตำแหน่งที่ถูกต้องนอนลงเพื่อให้ผู้บุกรุกสามารถหลบหลีกพยายามเจาะระบบ กลไกการรักษาความปลอดภัยที่ไม่มีตัวตนของ proponuyut สมัยใหม่ vikoristuyuchi yakіคุณสามารถฆ่า "ไม่ถูกต้อง" 99% ของผู้โจมตีได้ และทั้งหมดนี้ไม่จำเป็นต้องซื้อซอฟต์แวร์ราคาแพงและซอฟต์แวร์เชิงพาณิชย์

เมตาหลักของแฮ็กเกอร์ทั้งหมดคือการลบการเข้าถึงตัวแปลคำสั่งของเซิร์ฟเวอร์เพื่อใช้ประโยชน์จากความสามารถของตนเพื่อผลประโยชน์ของตนเอง การเจาะเข้าไปใน "ความศักดิ์สิทธิ์" ส่วนใหญ่ทำเพื่อความช่วยเหลือของ dir ในบริการหรือผ่านการกู้คืนรหัสผ่าน (กำลังดุร้าย) กับหนึ่งในนั้น (เช่น ssh)

การสแกนพอร์ต

เพื่อตรวจจับการมีอยู่ของบริการที่ขัดแย้งกันบนเครื่อง โจมตีการค้นพบด้วยความช่วยเหลือของเครื่องสแกนพอร์ตและระบบอื่นๆ เพื่อตรวจจับข้อขัดแย้ง เสียงเหมือนเครื่องสแกนพอร์ต vikoristovuetsya nmap วิธีทางที่แตกต่างและในบางกรณี ให้แสดงเวอร์ชันของระบบปฏิบัติการและบริการ Axis คือรายการของ nmap ensigns ที่ได้รับความนิยมโดยเฉพาะ ซึ่งควรเรียกว่า vicorist crackers:

แฟล็กของ nmap ซึ่งจะแสดงเมื่อสแกน

• -sT - โดยเฉพาะการสแกน TCP สำหรับความช่วยเหลือเพิ่มเติมในการส่งข้อความไปยังพอร์ตที่ระบุของพอร์ตนั้นที่สมบูรณ์
• -sS - การสแกน SYN/ACK การโทรจะเริ่มขึ้นหลังจากส่งคำขอแล้ว
• -sU - การสแกน UDP;
• -sF - การสแกนแพ็คเก็ตด้วยธง FIN;
• -sX - การสแกนแพ็กเก็ตโดยใส่เครื่องหมาย FIN, PSH และ URG
• -sN – การสแกนแบทช์โดยไม่ต้องตั้งค่าธง

วิธีการป้องกันการสแกนทำได้ง่ายและคุ้นเคยกับผู้ดูแลระบบทุกคน ไวน์Polyagaєในการปิดบริการทั้งหมดอย่างง่าย ๆ ราวกับว่าพวกเขามีความผิดสามารถเห็นได้จากเส้นขอบด้านนอก ตัวอย่างเช่น หากบริการ ssh, samba และ apache ทำงานบนเครื่อง และจากโลกภายนอก คุณจะเห็นเฉพาะเว็บเซิร์ฟเวอร์ที่มีเว็บไซด์ขององค์กรเท่านั้น หน้าจอตัวกลางสามารถตั้งค่าได้ดังนี้:

Pochatkove iptables ตั้งค่า

outif="eth1"
iptables -F
iptables -i $outif -A อินพุต \
-m คอนแทรค \
--ctstate จัดตั้งขึ้นที่เกี่ยวข้อง \
-j ยอมรับ
iptables -i $outif -A INPUT -p tcp \
--dport 80 -j ยอมรับ
iptables -i $outif -P INPUT DROP
iptables -i $outif -P OUTPUT ACCEPT

Pochatkove nalashtuvannya ipfw

outif="rl0"
ipfw เพิ่มอนุญาต ip จากใด ๆ ไปยังใด ๆ \
ผ่าน lo0
ipfw เพิ่มอนุญาต ip จากฉันไปยังใด ๆ \
$outif
ipfw เพิ่มอนุญาต tcp จากใด ๆ ให้ฉัน \
ก่อตั้งโดย $outif
ipfw เพิ่มอนุญาต tcp จาก 80 \
ให้ฉันผ่านทาง $outif
ipfw เพิ่มการปฏิเสธ ip จากใด ๆ ไปยังใด ๆ \
$outif

Pochatkove patching pf

outif="rl0"
ตั้งข้ามบนlo0
บล็อกทั้งหมด
ส่งผ่าน $outif จาก $outif \
ไปที่รัฐใด ๆ ให้
ส่งผ่าน $outif proto จากใด ๆ \
ถึง $outif พอร์ต 80

กฎทั้งสามชุดทำงานเหมือนกัน - อนุญาตให้ส่งทราฟฟิกใด ๆ ผ่านอินเทอร์เฟซลูปแบ็ค (ลูปแบ็ค) อนุญาตให้ยอมรับแพ็กเก็ตที่ติดตั้งแล้วในวันนั้น (เช่น เบราว์เซอร์สามารถยอมรับคำขอไปยังรีโมตได้ทันที เซิร์ฟเวอร์) อนุญาตให้ถ่ายโอนไปยังพอร์ตที่ 80 บล็อกพอร์ต และอนุญาตการเชื่อมต่อใดๆ กับชื่อ เพื่อแสดงความเคารพ เนื่องจากในแอปพลิเคชัน iptables และ ipfw เรากำหนดกฎเกณฑ์สำหรับการอนุญาตให้รับแพ็กเก็ตที่ติดตั้งไว้แล้ว (จัดตั้งขึ้น) อย่างชัดเจน จากนั้นในกรณีของ pf ซึ่งเพียงพอที่จะระบุ "รักษาสถานะ" ในชุดกฎซึ่ง อนุญาตให้มีวันหยุด z'ednannya หรือไม่

Zagalom โครงการดังกล่าวเพื่อป้องกันการรวมบริการในรูปแบบของการสแกนและการเจาะเป็นแนวทางที่ดี แต่เราสามารถรักษาระยะห่างและแก้ไขไฟเพื่อให้นักบวชเห็นการสแกนในกองไฟไม่สามารถวิโคนันได้ ในทางเทคนิค เราไม่สามารถสร้างการสแกนด้วยคลื่นเสียงใดๆ ได้ (ธง nmap "-sT", "-sS" และ "-sU") เฉพาะสำหรับผู้ที่ไม่มีความผิดทางอาญาในนั้น แต่การสแกนที่ไม่ได้มาตรฐานเช่น "-sN", " -sF" และ "-sX" สร้างแพ็คเกจที่ไม่สามารถสร้างโดยภาคผนวกทางกฎหมาย

หากไม่มีคำใบ้ของ sumnivu เราให้เวลาครึ่งหนึ่ง

วิธีการต่อสู้กับการสแกนชนิดแปลกใหม่

#รั้วFIN-สแกน
Linux > iptables -A INPUT -p tcp \
-m tcp \
--tcp-flags FIN, ACK FIN -j DROP
FreeBSD>
ไม่ได้สร้าง tcpflags fin
#รั้วเอ็กซ์สแกน
ลินุกซ์>
--tcp-flags FIN, SYN, RST, PSH, ACK, URG
FIN,SYN,RST,PSH,ACK,URG\
-j DROP
FreeBSD> ipfw เพิ่มการปฏิเสธ tcp จากใด ๆ ไปยังใด ๆ \
tcpflags fin, syn, rst, psh, ack, urg
#รั้วN-scan
Linux > iptables -A INPUT -p tcp -m tcp \
--tcp-flags FIN, SYN, RST, PSH, ACK, URG ไม่มี --j DROP
FreeBSD> ipfw เพิ่มการปฏิเสธ tcp จากใด ๆ ไปยังใด ๆ \
tcpflags !fin, !syn, !rst, !psh, !ack, !urg
ใน OpenBSD แถวทั้งหมดสามารถแทนที่ด้วยการเขียนอย่างง่ายบน cob
/etc/pf.conf:
ขัดทั้งหมด

คำสั่งการขัดจะเปิดใช้งานกลไกการทำให้เป็นมาตรฐานของแพ็กเก็ต ซึ่งแพ็กเก็ตที่แยกส่วนถูกปฏิเสธ และแพ็กเก็ตที่มีแฟล็กรวมกันที่ไม่ถูกต้องจะถูกปฏิเสธ สครับรูปแบบการสแกนที่แปลกใหม่ช่วยให้คุณหลอกลวงและหลอกลวงระบบตรวจจับการบุกรุก (เอาชนะแพ็กเก็ตที่มีการแยกส่วนอย่างหนัก) และการโจมตี DoS ประเภทอื่นๆ

เพื่อแทนที่การสแกน SYN/ACK ที่เริ่มต้นด้วยความช่วยเหลือของ "-sS" nmap ensign เราสามารถแทนที่วิธีลายนิ้วมือของ OS แฝงที่มีอยู่ในไฟร์วอลล์ pf และ iptables/netfilter (เริ่มจากเวอร์ชัน 1.4.6) ชั่วโมงของการสแกนด้วยคลื่นเสียง (ธง "-sT") ระบบปฏิบัติการดังนั้นการสแกนดังกล่าวอาจไม่ปรากฏให้เห็นในสตรีมของแพ็กเก็ตที่โดดเด่นแต่อย่างใด (ด้านล่างเราจะดูข้อมูลประจำตัวของมัน) อย่างไรก็ตาม เมื่อ SYN / ACK สแกน nmap จะสร้างแพ็กเก็ตด้วยตัวเองจึงมีกลิ่นเหม็น อาจแตกต่างกันไปหากคุณเห็นคอของพวกเขา วิธีการระบุ OS แบบพาสซีฟช่วยให้คุณสามารถระบุแพ็กเก็ตและโยนออกเพื่อรับความช่วยเหลือจากกฎไฟร์วอลล์มาตรฐาน:

OpenBSD> บล็อกอย่างรวดเร็วจากระบบปฏิบัติการ NMAP
Linux > iptables -I INPUT -p tcp -m osf --genre NMAP \
-j DROP

โมดูล osf ของไฟร์วอลล์ iptables/netfilter ได้เลือกและอัปเดตผู้ค้าปลีก OpenBSD (/etc/pf.os) สิ่งเหล่านี้ยังช่วยให้คุณต่อต้านฟังก์ชันที่กำหนดให้กับระบบปฏิบัติการโดยยูทิลิตี้ nmap ได้อย่างมีประสิทธิภาพ (ธง "-O")

ตอนนี้การป้องกันของฉันอาจอยู่ในรูปแบบของภาพสแกนที่ใช้แล้ว ยกเว้นภาพมาตรฐานและ "-sT" ที่โง่เขลา จะออกจากมันได้อย่างไร? จริงๆมันง่าย ข้อเท็จจริงของการสแกนพอร์ตนั้นง่ายต่อการรับรู้โดยเพียงแค่วิเคราะห์บันทึกของไฟร์วอลล์ ราวกับว่าในช่วงเวลาสั้นๆ มีการเชื่อมต่อที่ไม่มีตัวตนที่พอร์ตต่างๆ ซึ่งหมายความว่าเราถูกสแกนแล้ว การเปลี่ยนแนวคิดนี้เป็นกฎไฟร์วอลล์มากเกินไป สำหรับ iptables มีสูตรที่เชื่อถือได้ซึ่งบล็อกทุกคนที่เคาะพอร์ตที่ไม่ทำงาน:

ต่อสู้กับการสแกน ช่วย iptables

#ตรวจสอบการเคาะที่ท่าเรือไม่ทำงาน (10 ต่อปี)

--seconds 3600 --hitcount 10 --rttl-j RETURN
# ตรวจสอบอีกครั้งสำหรับการเคาะที่พอร์ตที่ไม่ทำงาน (2 สำหรับบันทึกย่อ)
iptables -A INPUT -m ล่าสุด --rcheck \
--วินาที 60 --hitcount 2 --rttl-j RETURN
#ใส่ที่อยู่ก็เงียบ ใครเคาะรายการ
iptables -A INPUT -m ล่าสุด --set
#มาดูแพ็กของทุกท่านที่เกินขีดจำกัดบน
จำนวนการเชื่อมต่อ
iptables -P INPUT -j DROP

ด้วยการติดตั้งแพ็คเกจ xtables-addons ซึ่งมุ่งเป้าไปที่โปรเจ็กต์ patch-omatic เราจะสามารถเข้าถึงโมดูล PSD (Port Scan Detect) ซึ่งใช้งานหลังจากภาพและความคล้ายคลึงของ scanlogd daemon แถวหน้าของหนวดสามารถแทนที่ได้อย่างง่ายดายด้วยกฎง่ายๆ:

# iptables -A INPUT -m psd -j DROP

น่าเสียดายที่ตัวกรองแพ็กเก็ต ipfw และ pf ไม่มีอะไรคล้ายกัน แต่ไม่มี ดังนั้นการสแกนพอร์ตจึงดีกับ PortSentry daemon และ scanlogd เดียวกัน

รั้ว Icmp-update

แนวปฏิบัติที่ดีในการบล็อกการอัปเดต ICMP เพื่อให้คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับโฮสต์ หรือคุณสามารถพยายามเอาชนะการกระทำที่เป็นอันตรายต่างๆ (เช่น การแก้ไขตารางเส้นทาง) ด้านล่างนี้คือตารางที่มีรายการประเภทการแจ้งเตือน ICMP ที่เป็นไปได้:

คำแนะนำ Tipi ICMP

• 0 - ตอบกลับเสียงสะท้อน (echo-reply, ping)
• 3 - ปลายทางไม่สามารถเข้าถึงได้
• 4 - แหล่งดับ
• 5 - เปลี่ยนเส้นทาง (เปลี่ยนเส้นทาง)
• 8 - คำขอเสียงสะท้อน (คำขอเสียงสะท้อน, ปิง)
• 9 - โฆษณาเราเตอร์
• 10 - การเร้าเตอร์เร้าเตอร์
• 11 - เกินเวลาที่จะมีชีวิตอยู่
• 12 - ส่วนหัว IP ไม่ถูกต้อง (ส่วนหัวแพ็กเก็ต IP ไม่ถูกต้อง)
• 13 - คำขอประทับเวลา (ขอค่าของชั่วโมง)
• 14 - ตอบกลับการประทับเวลา
• 15 - ขอข้อมูล
• 16 - ข้อมูลตอบกลับ
• 17 - คำขอมาสก์ที่อยู่
• 18 - ตอบกลับมาสก์ที่อยู่

ในฐานะที่เป็น bachish ในกรณีของข้อมูล ICMP คุณสามารถนำข้อมูลเกี่ยวกับโฮสต์ขึ้นมาก่อนที่จะเปิดเผยหรือในกรณีอื่น ๆ นำมาสู่การปรับเปลี่ยนตารางเส้นทางดังนั้นคุณต้องปกป้องมัน

โทรออกที่ zovnishhnіy svіtอนุญาตการแจ้งเตือน ICMP 0, 3, 4, 11 และ 12 แต่ยอมรับเพียง 3, 8 และ 12 เป็นอินพุต แกนยังใช้งานในไฟร์วอลล์ที่แตกต่างกัน:

รั้ว ICMP-update ที่ไม่ปลอดภัย

Linux > iptables -A INPUT -p icmp \
-icmp-type 3,8,12 -j ยอมรับ
Linux > iptables -A OUTPUT -p icmp\
-icmp-type 0,3,4,11,12 -j ACCEPT
FreeBSD> ipfw เพิ่มอนุญาต icmp \
จากใด ๆ ถึง $outif ใน \
ผ่าน $outif icmptype 3,8,12
FreeBSD> ipfw เพิ่มอนุญาต icmp \
จาก $outif ถึงใด ๆ ออก \
ผ่าน $outif icmptype 0,3,4,11,12
OpenBSD> ส่งผ่าน inet proto icmp \
จากใด ๆ ถึง $outif \
icmp-type ( 3, 8, 12 ) รักษาสถานะ
OpenBSD> ส่ง inet proto icmp \
จาก $outif ถึงใด ๆ \
ชนิด icmp ( 0, 3, 4, 11, 12 ) \
รักษาสถานะ

โดยมีค่าธรรมเนียม คุณสามารถบล็อกการรับส่งข้อมูล ICMP ทั้งหมด รวมถึงคำขอ ping หรือคุณสามารถตรวจสอบความถูกต้องของหุ่นยนต์ได้

กำลังดุร้าย

ได้ทราบข้อมูลเกี่ยวกับ ในพอร์ตที่สำคัญระบบปฏิบัติการที่แคร็กเกอร์สามารถพยายามเจาะระบบซึ่งสามารถขึ้นอยู่กับการใช้ประโยชน์จากเซิร์ฟเวอร์ระยะไกลในบริการหรือการเลือกรหัสผ่าน เราไม่สามารถช่วยคุณหยุดบริการชั่วร้ายของไฟร์วอลล์ แฮ็ครหัสผ่านได้อย่างง่ายดาย ด้วยเหตุผลนี้ จึงสามารถแลกเปลี่ยนแพ็คเกจจำนวนหนึ่งที่มายังเครื่องได้จากที่อยู่ IP เดียวกัน แกนสามารถเป็น zrobiti เพื่อขอความช่วยเหลือจาก iptables:

ผู้พิทักษ์กำลังดุร้ายเพื่อขอความช่วยเหลือจาก iptables

#แลนซ์เช็คเซดนาน
iptables -N brute_check
# การปิดกั้นที่อยู่โดยปกติสำหรับ60
วินาทีในіnіtsіyuvavมากกว่า 2 วัน

--update --วินาที 60 \
--hitcount 3 -j DROP
# Yakshcho nі - อนุญาตให้ zadnannya นั้น
เพิ่มที่อยู่ในรายการ
iptables -A brute_check -m ล่าสุด \
--set -j ยอมรับ
# ทำความสะอาดสายคล้องอินพุต
iptables -F INPUT
# Brute_check
ทุกคนที่พยายามเชื่อมต่อกับ
พอร์ต 22

--ctstate ใหม่ -p tcp \
--dport 22 -j brute_check
iptables -P INPUT DROP

สิ่งเดียวกันนั้นอาจเป็น robiti і z vikoristannyam pf:

ผู้พิทักษ์กำลังดุร้ายเพื่อขอความช่วยเหลือ pf

#สร้างตารางสำหรับคนเดรัจฉาน
ตาราง ยังคงมีอยู่
#บล๊อกทุกคนที่เสพมาก่อนเธอ
บล็อกอย่างรวดเร็วจาก
# วางลงในตารางเดรัจฉานทุกคนที่เริ่มต้นคำสั่งมากกว่าสองคำสั่งในพอร์ตที่ 22 บน whilin
ส่งผ่าน $ext_if inet volume tcp ไปยัง $outif \
พอร์ต 22 แฟล็ก S/SA รักษาสถานะ \
(max-src-conn-rate 60/2, \ overload ล้าง)

ไฟร์วอลล์ ipfw ไม่มีฟังก์ชันการทำงานที่เพียงพอสำหรับ anti-bruteforcer ที่มีประสิทธิภาพ จึงเป็นเหตุให้ต้องโทษเครื่องมือที่ได้รับชัยชนะในระดับที่สูงกว่า เช่น โมดูล PAM พิเศษ ระบบที่ตรวจจับการบุกรุก และโปรแกรมบน sshguard

การปลอมแปลง

การปลอมแปลง (การปลอมแปลงที่อยู่ของตัวจัดการแพ็คเก็ต) สามารถใช้เพื่อสร้างการโจมตี DoS หรือเลี่ยงไฟร์วอลล์ ในกรณีแรกการปลอมแปลงทำให้ผู้โจมตีได้เปรียบอย่างมาก แต่กลับทำให้การตอบสนองต่อการโจมตีแย่ลง (แพ็กเก็ตที่มากับที่อยู่ที่แตกต่างกันโดยสิ้นเชิงของพร็อกซี่นั้นไม่สามารถจำแนกและบล็อกได้ง่ายนัก) และทำให้กระบวนการปิดใหม่ล่าช้า 'วันจะปรากฏหลังจากสิ้นสุดระยะหมดเวลาเท่านั้น) การปลอมแปลงซึ่งใช้เพื่อเลี่ยงผ่านระบบนั้นไม่ปลอดภัยและควบคุมได้มากกว่า

Dosit มักจะปิดกั้นบริการการโทรของโฮสต์ผู้ดูแลระบบกีดกันที่อยู่ที่ได้รับอนุญาตสำหรับช่วงการร้องเพลง (ตัวอย่างเช่นสำหรับการเชื่อมต่อกับเครื่องที่บ้านของพวกเขาเอง) เมื่อคำนวณหนึ่งในที่อยู่เหล่านี้แล้ว ผู้โจมตีสามารถสร้างแพ็กเก็ตโดยระบุที่อยู่นั้นเป็นการส่งคืน และด้วยวิธีนี้ "ลื่น" ผ่านไฟร์วอลล์ คุณสามารถเดาหมายเลขและลำดับของแพ็กเก็ต TCP และค้นหาเพื่อให้บริการที่เชื่อถือที่อยู่ผู้ส่งกลับพบข้อมูลที่จำเป็น นอกจากนี้ยังเป็นสิ่งสำคัญในการดำเนินการโจมตีเนื่องจากผู้เชี่ยวชาญที่มีความสามารถสามารถเอาชนะได้และหากเกี่ยวกับโปรโตคอล UDP อำนาจและคูลแฮ็กเกอร์จะถูกล่ามโซ่

โชคดีที่ป้องกันการโจมตีดังกล่าวได้ง่าย ก็เพียงพอแล้วที่จะไม่ทำลายบริการที่ไม่มีการป้องกันในโลกภายนอกและในกรณีที่มีความจำเป็นอย่างยิ่งที่จะต้องปกป้องระบบของบริการด้วยตนเอง (เช่นใบรับรอง ssh) หรือกลไกของ "การดมกลิ่นในพอร์ต" (เกี่ยวกับใหม่ มีอธิบายไว้ในตัวอย่างบทความ)

สถานการณ์จะพับเก็บได้ หากมีสะพานโครงด้านขวา แบ่งโครงถักด้านในและด้านนอก (หรือโครงถักเฉพาะจุดสองโครง) Dovіrchivіdnosinіvіdnosіnі สายท้องถิ่น- ซวิเชียนาทางด้านขวา บริการสำหรับทุกคน ไม่มีการรับรองความถูกต้อง การเข้ารหัส ฯลฯ - แค่ shmatochok ลูกไม้สำหรับหัวขโมย Perebuvayuyuschy ที่เส้นขอบด้านนอก คุณสามารถรับรู้หน้ากากของเส้นขอบภายในและสร้างแพ็กเก็ตที่มีที่อยู่ผู้ส่งพิเศษ ซึ่งจะทำให้คุณสามารถเข้าถึงทรัพยากรทั้งหมดในพื้นที่ เป็นความจริงที่สถานการณ์ไม่ปลอดภัย แต่ง่ายต่อการประหยัดเงินสำหรับความช่วยเหลือในการตั้งค่าไฟร์วอลล์หรือระบบปฏิบัติการที่ถูกต้อง

ซึ่งเพียงพอที่จะป้องกันเส้นทางของแพ็กเก็ต ที่อยู่ส่งคืนของสิ่งเหล่านี้ควรถูกส่งผ่านไปยังเส้นขอบภายในจากอินเทอร์เฟซภายนอก:

Linux > iptables -A INPUT -i $outif \
-s 192.168.1.0/24 -j DENY
FreeBSD> ipfw เพิ่มการปฏิเสธ ip จาก \
192.168.1.0/24 ถึงใด ๆ ผ่าน $outif
OpenBSD> บล็อกใน $outif จาก \
192.168.1.0/24 ถึงใด ๆ

เพื่อเป็นทางเลือกแทนการโจมตีเพิ่มเติม คุณสามารถ (และจำเป็นต้อง) เอาชนะคำสั่งพิเศษ ipfw และ pf และปรับแต่งเคอร์เนล Linux:

Linux > echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
FreeBSD> ipfw เพิ่มปฏิเสธ ip ไม่ว่าจะเกิดอะไรขึ้น
OpenBSD> ป้องกันการปลอมแปลงอย่างรวดเร็วสำหรับ $ext_if

Qi สามทีมนำไปสู่ผลลัพธ์เดียวกัน แพ็กเก็ตทั้งหมดที่ล้อมรอบที่อยู่ซึ่งเหมาะสำหรับมวลชนของอินเทอร์เฟซอื่นจะถูกปฏิเสธ

อัตรา IPTABLES

ตัวอย่างเช่น เราสามารถดูความเป็นไปได้บางอย่างของ iptables / netfilter ซึ่งอาจเป็นการข่มขู่สำหรับการโจมตีของเซิร์ฟเวอร์ผ่านการเจาะ กลับมาที่กลไกกัน การดูแลระยะไกลไฟร์วอลล์ซึ่ง otrimav im'ya "เคาะที่ท่าเรือ" (การเคาะพอร์ต) สาระสำคัญของโยคะคือความจริงที่ว่า zmusiti ไฟร์วอลล์ vykonuvat pevnіdіїหลังจากเชื่อมต่อกับพอร์ตที่ระบุ ด้านล่างนี้คือชุดของกฎที่เปิดพอร์ต SSH เป็นเวลา 10 วินาทีหลังจาก "เคาะ" ที่พอร์ต 27520:

iptables และการเคาะพอร์ต
#แลนซ์สำหรับการกระทบยอดการเรียกไปยังพอร์ตที่ได้รับการคุ้มครอง
iptables -N น็อค
#ขออนุญาตปิดนะครับ
10 วินาที
iptables -A knock -m ล่าสุด --rcheck --seconds 10 \
-j ยอมรับ
# ล้างอินพุต
iptables -F INPUT
#อนุญาตให้ทำทุกอย่างที่ควรทำในอดีต
iptables -A INPUT -m conntrack \
--ctstate จัดตั้งขึ้น, ที่เกี่ยวข้อง -j ยอมรับ
# ลองตรวจสอบว่าพอร์ต 22 ถูกต้องหรือไม่
เคาะ

-p tcp --dport 22 -j น็อค
# ป้อนที่อยู่ที่เคาะบนพอร์ต 27520 ไปที่รายการ
iptables -A INPUT -m conntrack --ctstate ใหม่ \
-p tcp --dport 27520 -m ล่าสุด --set
#เมื่อเคาะพอร์ตจะเห็นที่อยู่จากรายการ
iptables -A INPUT -m conntrack --ctstate ใหม่ -p tcp \
-m multiport --dport 27519,27521 -m ล่าสุด --remove
#ปกป้องทุกอย่าง
iptables -P INPUT DROP

กฎข้อที่สามคือการเพิ่มที่อยู่ของผู้ที่เข้าชมรายการ เช่นเดียวกับเครื่องเดียวกันจะทำงานเป็นเวลา 10 วินาทีหลังจากที่น็อคถึงพอร์ตที่ 22 การเชื่อมต่อจะถูกติดตั้ง กฎ Peredostanne - zahist ในรูปแบบของ "การเคาะประตู" หากผู้โจมตีพยายามส่งเสียงร้องตามลำดับที่พอร์ตทั้งหมด หวังว่าหนึ่งในนั้นจะเปิดพอร์ตที่ 22 ตามกฎเดียวกัน และที่อยู่แรกจะเห็นจากรายการทันทีหลังจากพอร์ตใหม่

รูปแบบอื่นของ iptables ถูกขยายในแพ็คเกจ xtables-addons (patch-o-matic) และอาจเป็น TARPIT Tse diya (เช่นตัวเองเช่น ACCEPT หรือ DENY) เช่น "ยก" การโจมตีโดยไม่อนุญาตให้ฝ่ายโจมตีปิด หลังจากนั้นแพ็คเก็ตประเภทเดียวกันจะถูกนำมาจาก TARPI แต่จะถูกติดตั้ง อย่างไรก็ตาม การขยายจะเป็นศูนย์ ด้วยเหตุผลบางอย่างเครื่องจะไม่สามารถแลกข้อมูลได้โดยใช้ทรัพยากรและการปิดจะเป็น ปิดหลังจากสิ้นสุดการหมดเวลาเท่านั้น TARPI สามารถเอาชนะได้ในสถานการณ์ฉุกเฉินสำหรับการโจมตี DoS:

# iptables -A อินพุต -p tcp -m tcp -dport 80 -j TARPIT

แต่สำหรับการแนะนำผู้โจมตีในโอมานและการต่อสู้กับสแกนเนอร์
พอร์ต (สำหรับการสแกน TCP, "-sT" เท่านั้น):

# iptables -A อินพุต -p tcp -m tcp --dport 80 -j ยอมรับ
# iptables -A INPUT -p tcp -m tcp --dport 25 -j ยอมรับ
# iptables -A อินพุต -p tcp -m tcp -j TARPIT

กฎเหล่านี้สร้างทัศนวิสัยของระบบในลักษณะที่ทำลายทุกอย่าง แต่เป็นเวลาหนึ่งชั่วโมงพยายามเชื่อมต่อกับพวกเขา (crim 80 และ 25) พวกเขาจะถูก "รอ" ผลลัพธ์เดียวกันแม้จะไม่มีวันที่ "หย่อนคล้อย" คุณสามารถขอความช่วยเหลือจาก DELUDE วิธียืนยันความพยายามทั้งหมดในการเริ่มต้นการสั่งซื้ออย่างถูกต้องหรือส่งแพ็คเกจ RST ไปยังการจัดส่งพัสดุภัณฑ์ เพื่อทำให้ผู้โจมตีเข้าใจผิดมากยิ่งขึ้น คุณสามารถสั่นคลอน CHAOS เพื่อเปิดใช้งานหนึ่งในสองคำอธิบายที่อธิบายข้างต้น

Visnovki

หากฉันมีความรู้เพียงพอและอ่านเอกสารอย่างถี่ถ้วน คุณสามารถสร้างป้อมปราการได้ จนกว่ามันจะเข้ากันไม่ได้ง่ายนัก ไฟร์วอลล์สมัยใหม่ โดยเฉพาะอย่างยิ่ง pf และ iptables สามารถปกป้องคุณจากแขกผู้ไม่ประสงค์ดีได้ คุณจึงทำได้โดยไม่ต้องเสียค่าใช้จ่ายใดๆ ทั้งสิ้น

ลิงค์

• sf.net/projects/sentrytools - PortSentry
• www.openwall.com/scanlogd - scanlogd

การต่อสู้เพื่อเกลียวทรัพยากร

หากคุณเลือกใช้ TARPIT ให้เพิ่มกฎถัดไปในการกำหนดค่า มิฉะนั้น "ลดลง" วันเพื่อเพิ่มทรัพยากรเมื่อประมวลผลระบบย่อย conntrack:

# iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK

มาทำความเข้าใจ ACL กันอีกครั้ง เป็นครั้งแรกที่เรามีส่วนขยาย ACL โทโพโลยีถูกนำมาจากบทความด้านหน้า ฉันเห็นด้วย คุณได้ทำมันอย่างละเอียดถี่ถ้วนแล้ว หากไม่เป็นเช่นนั้น เราขอแนะนำให้คุณอ่านเพื่อให้เนื้อหาของบทความเหล่านี้มีความสมเหตุสมผล

เริ่มจากความจริงที่ว่าส่วนขยาย ACL ดังกล่าว ส่วนขยาย ACL อนุญาต เช่น ที่อยู่ของ gerel ระบุโปรโตคอล ที่อยู่ของการจดจำ และพอร์ต และพารามิเตอร์พิเศษของโปรโตคอลด้วย เป็นการดีที่สุดที่จะศึกษาเรื่องบั้นท้าย เราจะสร้างงานใหม่สำหรับสิ่งนั้น โดยวางไว้ข้างหน้า อย่างไรก็ตาม ใครก็ตามที่ต้องการดูแลการกระจายการรับส่งข้อมูลสำหรับลำดับความสำคัญ Raju axis QoS Classification and Marking เป็นบทความที่ดีแม้ว่าจะเป็นภาษาอังกฤษก็ตาม ทีนี้มาดูงานของเรากันดีกว่า:

ผู้จัดการ.

1. อนุญาต echo-requests จากโหนดในลิงค์ 192.168.0.0/24 ไปยังเซิร์ฟเวอร์
2. จากเซิร์ฟเวอร์ - ขอเสียงสะท้อนจากเครือข่ายภายใน
3. อนุญาตการเข้าถึงเว็บไปยังเซิร์ฟเวอร์จากโหนด 192.168.0.11
4. อนุญาตการเข้าถึง FTP จากโหนด 192.168.0.13 ไปยังเซิร์ฟเวอร์

งานที่ซับซ้อน Virishuvatimemo її tezh คอมเพล็กซ์ ลองดูที่ไวยากรณ์ ACL แบบขยาย

ตัวเลือก ACL แบบขยาย

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

ฉันเข้าใจหมายเลขพอร์ตน้อยกว่าที่จะระบุสำหรับโปรโตคอล TCP / UDP ฉันยังสามารถเป็นแม่ของสถานที่ที่แนบมาด้วย เท่ากัน(หมายเลขพอร์ตเท่ากับหมายเลขที่กำหนด) gt/lt(หมายเลขพอร์ตสูงกว่า/ต่ำกว่าที่กำหนด) เนค(หมายเลขพอร์ตไม่ตรงกับที่ระบุ) พิสัย(ช่วงพอร์ต).

ชื่อ ACL

ก่อนพูด รายการเข้าถึงไม่เพียงแต่สามารถระบุหมายเลขได้ แต่ยังระบุชื่อด้วย! เป็นไปได้ทุกวิถีทางจะดีสำหรับคุณ คราวนี้เราทำเอง คำสั่งถูกตั้งค่าในบริบทของคอนฟิกูเรชันส่วนกลาง และไวยากรณ์จะมีลักษณะดังนี้:

เราเตอร์(config)#ip access-list extended<имя>

อ๊อตเช่ เราเริ่มกำหนดกฎเกณฑ์

1. อนุญาตให้ปิงจากชายแดน 192.168.0.0/24 ไปยังเซิร์ฟเวอร์ ออตเช่ เสียงก้อง- ถาม - โปรโตคอลเดียวกัน ICMPในฐานะที่อยู่ของ dzherel เราเลือกที่อยู่ของเราที่อยู่ที่กำหนดคือที่อยู่ของเซิร์ฟเวอร์ประเภทของการแจ้งเตือนอยู่ในอินเทอร์เฟซการป้อนข้อมูล เสียงก้อง, ที่ทางออก - เสียงสะท้อนตอบกลับ. เราเตอร์ (config) #ip ขยายรายการเข้าถึง INT_IN เราเตอร์ (config-ext-nacl) # อนุญาต icmp 192.168.0.0 0.0.0.255 โฮสต์ 10.0.0.100 echo ดังนั้น tse ชิป ACL. ที่เรียกว่า ไวลด์การ์ด-หน้ากาก. ก็นับว่าเป็นหน้ากากที่พันอยู่รอบๆ ทูบโต 255.255.255.255 - หน้ากากdmerezhі ใจเรามีความเกียจคร้าน 255.255.255.0 , หลังจากที่เห็น 0.0.0.255 .ฉันคิดว่ากฎนี้ไม่ต้องการคำอธิบาย? มาตรการ icmp, ที่อยู่ dzherel - pіdmerezh 192.168.0.0/24 , ที่อยู่ที่รู้จัก - โฮสต์ 10.0.0.100, ประเภทการแจ้งเตือน – เสียงก้อง(ขอ). ก่อนกล่าวสุนทรพจน์ไม่สำคัญที่ต้องจำไว้ โฮสต์ 10.0.0.100เท่ากัน 10.0.0.100 0.0.0.0 .Zastosovuєmo tse rule บนอินเทอร์เฟซ เราเตอร์(config)#int fa0/0
   เราเตอร์ (config-if)#ip access-group INT_IN ในบางทีก็เป็นเช่นนั้น ทีนี้ วิธีย้อนกลับการปิง - จำง่าย ๆ ว่าทุกอย่างทำงานได้ดี จริงสิ เราเจอเซอร์ไพรส์ครั้งเดียวเหมือนเสี้ยวเวลาสามนาฬิกา จนกว่าฉันจะเปิดเผย ใครทายถูก - ทำได้ดีมาก!
2. จากเซิร์ฟเวอร์ - เราบล็อกคำขอทั้งหมดสำหรับเสียงสะท้อนจากเครือข่ายภายใน (192.168.0.0/24) เรากำหนดรูปแบบการตั้งชื่อใหม่ INT_OUT และเปลี่ยนเป็นอินเทอร์เฟซที่ใกล้กับเซิร์ฟเวอร์มากที่สุด
   เราเตอร์(config)#ip ขยายรายการเข้าถึง INT_OUT
   เราเตอร์ (config-ext-nacl)#deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo
   เราเตอร์(config-ext-nacl)#exit
   เราเตอร์(config)#int fa0/1
   เราเตอร์(config-if)#ip access-group INT_OUT ใน
   ให้ฉันอธิบายสิ่งที่เราถูกปล้น เราสร้างรายการส่วนขยายสำหรับการเข้าถึงชื่อ INT_OUT เราบล็อกโปรโตคอล icmpด้วยประเภท เสียงก้องจากเจ้าภาพ 10.0.0.100 บนpіdmerezhu 192.168.0.0/24 เธอติดอยู่ที่อินเทอร์เฟซอินพุต fa0/1, แล้ว. ใกล้เซิร์ฟเวอร์มากที่สุด กำลังพยายามส่ง ปิงจากเซิร์ฟเวอร์
   เซิร์ฟเวอร์>ping 192.168.0.11
   ปิง 192.168.0.11 ด้วยข้อมูล 32 ไบต์:
   
   ตอบกลับจาก 10.0.0.1: ไม่สามารถเข้าถึงโฮสต์ปลายทางได้
   ตอบกลับจาก 10.0.0.1: ไม่สามารถเข้าถึงโฮสต์ปลายทางได้
   ตอบกลับจาก 10.0.0.1: ไม่สามารถเข้าถึงโฮสต์ปลายทางได้
   สถิติการปิงสำหรับ 192.168.0.11:
   แพ็คเก็ต: ส่ง = 4 ได้รับ = 0, สูญหาย = 4 (สูญเสีย 100%)
   มันได้ผลเหมือนครั้งต่อไป สำหรับผู้ที่ไม่ทราบวิธีการส่ง ping - คลิกที่โหนดเพื่อโทรหาเรา เช่น เซิร์ฟเวอร์ ไปที่แท็บเดสก์ท็อป (รูปแบบการทำงาน) ที่นั่นพร้อมรับคำสั่ง (แถวคำสั่ง) และตอนนี้เรื่องตลกobіtsyany ลอง ping จากโฮสต์เช่นจุดแรก PC>ping 10.0.0.100
   ปิง 10.0.0.100 พร้อมข้อมูล 32 ไบต์:
   คำขอหมดเวลา
   คำขอหมดเวลา
   คำขอหมดเวลา
   คำขอหมดเวลา

   ขวานคุณครั้งเดียว ทุกอย่างทำงานได้ดีมาก! ทำไมมันหยุด? Tse obіtsyanyแปลกใจ ให้ฉันอธิบายว่าปัญหาคืออะไร ดังนั้นกฎข้อแรกจึงไม่ไปไหน ช่วยให้คุณสามารถส่งเสียงสะท้อนไปยังเซิร์ฟเวอร์ vuzol ได้อย่างมีประสิทธิภาพ Ale de อนุญาตให้มีการทบทวนเสียงสะท้อนหรือไม่? โยโกะไม่รู้! เราขอคำร้อง แต่เราไม่สามารถรับคำขอได้! ทำไมทุกอย่างทำงานก่อนหน้านี้? จากนั้นเราไม่มี ACL บนอินเทอร์เฟซ fa0/1. และหากไม่มี ACL ก็อนุญาตทุกอย่าง คุณจะต้องสร้างกฎเพื่ออนุญาตให้รับ icmp-voices

   Dodamo ไปที่ INT_OUT รายการ

   dodamo เหล่านั้นในรายการ INT_IN

   เราเตอร์ (config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply

   ฝ่ายอักษะไม่ใช่ปรีดีปิติยา ทุกอย่างกำลังไปได้สวย!

3. อนุญาตให้เข้าถึงเว็บไปยังเซิร์ฟเวอร์จากโหนด *.11 ทำเช่นเดียวกัน! เป็นความจริงที่จำเป็นต้องมีขุนนางสามคน เนื่องจากพวกเขาปฏิบัติตามโปรโตคอลของระดับที่ 4 (TCP, UDP) พอร์ตไคลเอนต์ได้รับเลือกให้มากกว่า 1024 และพอร์ตเซิร์ฟเวอร์ไปยังบริการ สำหรับเว็บ - พอร์ต 80 (โปรโตคอล http) แล้วไดรฟ์เซิร์ฟเวอร์เว็บล่ะ? เบื้องหลัง บริการเว็บได้รับการติดตั้งบนเซิร์ฟเวอร์แล้ว คุณสามารถดูได้ในการตั้งค่าของโหนด แสดงความเคารพเพื่อให้มีเห็บ และคุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์โดยเลือกทางลัด "เว็บเบราว์เซอร์" บน "เดสก์ท็อป" ของโหนดใดก็ได้ Zvichayno ในเวลาเดียวกันจะไม่เข้าถึง ชิ้นส่วนบนอินเทอร์เฟซเราเตอร์ของเราหยุดทำงาน ACL และไม่มีกฎสำหรับการเข้าถึง เอาล่ะ มาทำกัน ไปที่รายการเข้าถึง INT_IN (ซึ่งอยู่บนอินเทอร์เฟซ fa0/0) เพิ่มกฎ: เราเตอร์(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 โฮสต์ 10.0.0.100 eq 80 เพื่ออนุญาตโปรโตคอล TCP จากโหนดของเรา (พอร์ตก่อนหน้า > 1024) ไปยังที่อยู่เซิร์ฟเวอร์ พอร์ต

   І, razumіlo, กฎ zvorotne, ไปยังรายการ INT_OUT (ซึ่งอยู่บนอินเทอร์เฟซ fa0/1):

   เราเตอร์ (config-ext-nacl)#permit tcp host 10.0.0.100 eq 80 โฮสต์ 192.168.0.11 ที่จัดตั้งขึ้น

   ที่ได้รับอนุญาต TCPจากท่าเรือ 80 เซิร์ฟเวอร์ต่อโฮสต์ *.11 และสามารถติดตั้ง z'ednannya ได้แล้ว! เปลี่ยนได้ ที่จัดตั้งขึ้นพูดแบบนั้น gt 1024, pratsyuvati จะดีมาก. เอลสัมผัสโทรชิ іnshiy

   ในคอมเมนต์ให้คำแนะนำอะไรจะปลอดภัย?

4. อนุญาตให้เข้าถึง FTP จากโหนด *.13 ไปยังเซิร์ฟเวอร์ได้ ไม่มีอะไรพับได้อย่างแน่นอน! มันถูกเลือกว่าจะทำงานร่วมกับโปรโตคอล FTP อย่างไร ฉันวางแผนที่จะอุทิศบทความทั้งหมดให้กับอนาคตของโรบ็อตและโปรโตคอลต่างๆ ส่วนชาร์ดจะดียิ่งขึ้นไปอีกเมื่อสร้างกฎ (สไนเปอร์) ที่แน่นอนของ ACL สำหรับตอนนี้: เซิร์ฟเวอร์และไคลเอนต์ Dії:+ ลูกค้าพยายามติดตั้งการโทรและแทนที่แพ็กเก็ต (ซึ่งมีข้อความว่าหุ่นยนต์จะทำงานในโหมดพาสซีฟ) บนพอร์ตที่ 21 ของเซิร์ฟเวอร์จากพอร์ต X (X > 1024, พอร์ตอื่น) ได้รับช่องข้อมูล Y (Y > 1024) ไปยังพอร์ตไคลเอ็นต์ X ละเว้นจากส่วนหัวของแพ็กเก็ต TCP เช่นนั้น ฟังดูดี แต่จำเป็นต้องโตขึ้น! เราเพิ่มกฎในรายการ INT_IN:

   อนุญาต tcp โฮสต์ 192.168.0.13 gt 1024 โฮสต์ 10.0.0.100 eq 21
   อนุญาต tcp โฮสต์ 192.168.0.13 gt 1024 โฮสต์ 10.0.0.100 gt 1024

   และในรายการ INT_OUT เราเพิ่มกฎ:

   อนุญาต tcp host 10.0.0.100 eq ftp host 192.168.0.13 gt 1024
   อนุญาต tcp โฮสต์ 10.0.0.100 gt 1024 โฮสต์ 192.168.0.13 gt 1024

   ตรวจสอบจากบรรทัดคำสั่งโดยทีมงาน ftp 10.0.0.100, ยกเลิกการอนุญาตสำหรับoblіkovymi danimi ซิสโก้:ซิสโก้(นำมาจากเซิร์ฟเวอร์) เราป้อนคำสั่งที่นั่น dirและเป็นการดีกว่าที่คำสั่งที่กำหนดจะถูกส่งสำเร็จ

แกนมีค่าประมาณและทุกสิ่งที่คุ้มกับรายการเข้าถึงเพิ่มเติม

ดูกฎของเราอีกครั้ง:

เราเตอร์#sh access
รายการการเข้าถึง IP แบบขยาย INT_IN
อนุญาต icmp 192.168.0.0 0.0.0.255 โฮสต์ 10.0.0.100 echo (การจับคู่ 17 รายการ)
อนุญาต icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply
อนุญาต tcp โฮสต์ 192.168.0.11 gt 1024 โฮสต์ 10.0.0.100 eq www (36 รายการที่ตรงกัน)
อนุญาต tcp โฮสต์ 192.168.0.13 gt 1024 โฮสต์ 10.0.0.100 eq ftp (40 การจับคู่)
อนุญาต tcp โฮสต์ 192.168.0.13 gt 1024 โฮสต์ 10.0.0.100 gt 1024 (4 การจับคู่)
รายการการเข้าถึง IP แบบขยาย INT_OUT
ปฏิเสธโฮสต์ icmp 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 รายการที่ตรงกัน)
อนุญาต icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply (4 การจับคู่)
อนุญาต tcp โฮสต์ 10.0.0.100 eq www โฮสต์ 192.168.0.11 ที่จัดตั้งขึ้น (การแข่งขัน 3 รายการ)
อนุญาต tcp host 10.0.0.100 eq ftp host 192.168.0.13 gt 1024 (16 แมตช์)
อนุญาต tcp host 10.0.0.100 gt 1024 โฮสต์ 192.168.0.13 gt 1024 (3 แมตช์)

ฉันจะกำหนดค่าคอมพิวเตอร์pid .ได้อย่างไร keruvannyam Windows 2000/XP/2003 บล็อกแพ็กเก็ต Ping? Windows 2000/XP/2003 อาจแนะนำกลไกความปลอดภัย IP ที่เรียกว่า IPSec (IP Security) IPSec เป็นโปรโตคอลที่แยกการป้องกันแต่ละแพ็กเก็ต TCP / IP เมื่อส่งผ่านเครือข่าย

อย่างไรก็ตาม เราจะไม่ลงรายละเอียดเกี่ยวกับการทำงานของส่วนเสริม IPsec ส่วนของการเข้ารหัส IPSec ยังสามารถปกป้องเซิร์ฟเวอร์หรือสถานีปฏิบัติการของคุณด้วยกลไกที่คล้ายกับไฟร์วอลล์

การบล็อก PING บนคอมพิวเตอร์เครื่องเดียว

หากต้องการบล็อกแพ็กเก็ต PING ทั้งหมดจากคอมพิวเตอร์และในคอมพิวเตอร์เครื่องใหม่ คุณต้องสร้างนโยบาย IPSec เพื่อบล็อกการรับส่งข้อมูล ICMP ทั้งหมด เป็นครั้งแรก ให้เปิดคอมพิวเตอร์ของคุณในคำขอ ICMP:

ในการตั้งค่าคอมพิวเตอร์เครื่องเดียว เราต้องทำตามขั้นตอนต่อไปนี้:

กำหนดค่าได้รายการตัวกรอง IP และการดำเนินการกรอง

1. เปิดหน้าต่าง MMC (เริ่ม > เรียกใช้ > MMC)
2. เพิ่มสแน็ปอิน IP Security และ Policy Management

1. Viberіtชนิดของคอมพิวเตอร์ bude cheruvatisya tsієyuการเมือง - ในความเห็นของเราคอมพิวเตอร์ในพื้นที่ทั้งหมด กด Close จากนั้นกด OK

1. คลิกขวาที่ IP Security Policies ในครึ่งซ้ายของคอนโซล MMC เลือกจัดการรายการตัวกรอง IP และการดำเนินการกรอง

1. คุณไม่จำเป็นต้องกำหนดค่าหรือสร้างตัวกรอง IP สำหรับ ICMP (โปรโตคอล ซึ่งในกรณีนี้ใช้ PING) แต่ตัวกรองดังกล่าวถูกใช้สำหรับการล็อกแล้ว - การรับส่งข้อมูล ICMP ทั้งหมด

อย่างไรก็ตาม คุณสามารถกำหนดค่าจำนวนตัวกรอง IP แบบพับได้ที่คุณมีได้ เช่น ดึงข้อมูลคอมพิวเตอร์จาก IP ที่ถูกต้อง และจำนวนตัวกรอง ในบทความหน้าที่เกี่ยวข้องกับ IPSec เรารายงานเกี่ยวกับการสร้างตัวกรอง IP ติดตามการอัปเดต

1. ในหน้าต่าง Manage Filter Lists and Filter actions ตรวจทานตัวกรองของคุณและยังคงคลิกที่แท็บ Manage Filter Actions ตอนนี้เราต้องเพิ่มข้อความสำหรับตัวกรองซึ่งเป็นเพลงที่ปิดกั้นการรับส่งข้อมูลให้กดเพิ่ม

1. ในตอนแรกvіknіvіknіvіtannyvіtannyaกำลังผลักดันต่อไป
2. ในฟิลด์ชื่อการดำเนินการของตัวกรอง ให้ป้อน บล็อก แล้วกด ถัดไป

1. สำหรับตัวเลือกทั่วไปของการดำเนินการกรอง ให้เลือก บล็อก จากนั้นเลือก ถัดไป

1. กลับไปที่หน้าต่าง Manage IP Filter Lists and Filter actions window และตรวจสอบตัวกรองของคุณ และถ้าทุกอย่างอื่น ให้คลิก Close คุณสามารถเพิ่มตัวกรองและตัวกรองได้ทุกเมื่อ

ขั้นตอนต่อไปจะเป็นการกำหนดค่านโยบาย IPSec และ її zastosuvannya

การกำหนดค่านโยบาย IPSe

1. ในคอนโซล MMC เดียวกัน ให้คลิกขวาที่ IP Security Policies และเลือก Create IP Security Policy

1. ข้ามคำทักทายของอาจารย์โดยกด Next
2. สำหรับฟิลด์ IP Security Policy Name ให้ป้อนชื่อที่ถูกต้อง เช่น "Block PING" กดถัดไป

1. สำหรับคำขอเชื่อมต่อที่ปลอดภัย ให้ยกเลิกการเลือกช่องทำเครื่องหมาย Active the Default Response Rule PressNext

1. ตั้งค่าช่องทำเครื่องหมายเพื่อเปลี่ยนสิทธิ์และคลิกเสร็จสิ้น

1. เราจำเป็นต้องเพิ่มตัวกรอง IP และตัวกรองอื่นๆ ให้กับนโยบาย IPSec ใหม่ วิกนิซ นโยบายใหม่ IPSec กด Add

1. กดปุ่มถัดไป
2. ที่ Tunnel Endpoint ให้เปลี่ยนไปใช้มูลค่าโปรโมชันที่เลือกแล้วคลิกถัดไป

การบล็อกปิงปิงในระบบปฏิบัติการสามารถป้องกันการโจมตีจากแพ็กเก็ต ICMP ที่ท่วมท้นและระบบอื่น ๆ ที่ชนะ บริการชิวการตรวจสอบออนไลน์ (การตรวจสอบระบบ) ในหัวข้อของฉัน "Block Ping (ICMP) บน Unix/Linux" ฉันจะบอกคุณว่าคุณจะปิดการใช้งานได้อย่างไร

การบล็อก PING บนเซิร์ฟเวอร์นั้นถูกต้อง เนื่องจากเซิร์ฟเวอร์ติดขัดตลอดเวลา DoS โจมตีสำหรับความช่วยเหลือของฟังก์ชัน PING เมื่อใช้ IPTables เราสามารถ ping แพ็กเก็ต ICMP (ดึง PING) ไปยังเซิร์ฟเวอร์ได้ ก่อน cob จำเป็นต้องรู้เกี่ยวกับผู้ที่มี Iptables ใน Linux Iptables เป็นระบบข้ามหน้าจอที่มีชุดกฎเกณฑ์เพื่อควบคุมแพ็กเก็ตขาเข้าและขาออก สำหรับการล็อก Iptables โดยไม่มีกฎเกณฑ์ใดๆ คุณสามารถสร้าง เพิ่ม แก้ไขกฎได้

เปิดใช้งาน Ping ผู้ชนะและ iptables

คำอธิบายของพารามิเตอร์บางตัวใน iptables ซึ่งจำเป็นสำหรับการสร้างกฎ ICMP ด้วยแพ็กเก็ต:

ตอบ: เพิ่มกฎ
-D: แสดงกฎจากตาราง
-p: ตัวเลือกเพื่อระบุโปรโตคอล (de icmp)
-icmp-type: ตัวเลือกเพื่อระบุประเภท
-J: กระโดดขึ้นไปที่มีดหมอ

ด้านล่างฉันจะชี้ให้เห็นก้นเริ่มต้น

จะบล็อก PING บนเซิร์ฟเวอร์เพื่อรับการแจ้งเตือนเกี่ยวกับการให้อภัยได้อย่างไร?
ด้วยวิธีนี้ คุณมักจะบล็อก PING ด้วยคำเตือนเกี่ยวกับการอภัยโทษที่พอร์ตปลายทางไม่สามารถเข้าถึงได้ เพิ่มกฎ Iptables ถัดไปเพื่อบล็อก PING ไม่ให้แสดงการแจ้งเตือนการให้อภัย:

# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT

บล็อก PING บนเซิร์ฟเวอร์โดยไม่เอ่ยถึงการอภัยโทษ
สำหรับทีมที่ชนะสำหรับ ІPTables:

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

บล็อกแพ็กเก็ต ICMP ขาเข้าและขาออกทั้งหมดบนเซิร์ฟเวอร์

อนุญาตให้ผู้ชนะ Ping ผ่าน iptables

คุณได้บล็อก ping บนเซิร์ฟเวอร์และไม่รู้ว่าจะย้อนกลับอย่างไร แล้วฉันจะบอกคุณทันทีว่าจะเติบโตอย่างไร และเพื่อตอบโต้ด้วยการเพิ่มกฎที่น่ารังเกียจใน IPtables:

# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

กฎเหล่านี้เป็นกฎที่อนุญาตให้ส่งแพ็กเก็ต ICMP จากเซิร์ฟเวอร์ไปยังแพ็กเก็ตใหม่

การบล็อก Ping ด้วยพารามิเตอร์เคอร์เนล

นอกจากนี้เรายังสามารถบล็อก ping โดยไม่เลือกปฏิบัติด้วยพารามิเตอร์เคอร์เนล คุณสามารถบล็อกvіdpovіdіบน ping timchasovo หรือ postiyno และแสดงไว้ด้านล่างเป็น tse robiti

ปิงบล็อกเวลา
คุณสามารถบล็อก timchasovo vidpovidіบน ping, vikoristovuyuchi โจมตีทีม

# echo "1" >

หากต้องการปลดบล็อกคำสั่งนี้ ให้ทำตามนี้:

# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

Zaboroniti Ping vzagalі
คุณสามารถบล็อก ping pіdpovidі dodayuchi พารามิเตอร์ที่น่ารังเกียจใน ไฟล์การกำหนดค่า:

# กลุ่ม /etc/sysctl.conf

І เขียน:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl แฮ็กเพื่อเปลี่ยนพารามิเตอร์เคอร์เนลสำหรับชั่วโมง ping โดยหนึ่งในพารามิเตอร์เหล่านี้สามารถตั้งค่าเป็น ping daemon (ping daemon) ได้ หากคุณต้องการเปิดใช้งาน ping คุณเพียงแค่ต้องทำ ping daemon:

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

ตอนนี้ลอง ping เครื่องไม่มีรายงานรายวันเกี่ยวกับเรื่องนี้ ทำไมไม่? หากต้องการเปิดใช้งาน ping อีกครั้ง ให้บิด:

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

W ensign ได้รับชัยชนะ ดังนั้นคุณต้องเปลี่ยนการตั้งค่าบางอย่าง

ตอนนี้ ไปข้างหน้าด้วยคำสั่งเพื่อหยุดการติดตั้งแบบสุ่มโดยไม่ต้องรีบูตระบบ:

# sysctl -p

# sysctl --system

แกนกำหนดค่าล่าสุดของฉัน:

# cd /usr/local/src && wget http://website/wp-content/uploads/files/sysctl_conf.txt

จากนั้นคุณสามารถ vikonati:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

สำหรับฉัน หัวข้อ "Block Ping (ICMP) ตอบกลับใน Unix/Linux" เสร็จเรียบร้อยแล้ว