SYNおよびFIN攻撃をドロップするiptablesルール

Question

Trustwaveレポートから、このタイプの要求をブロックするようにサーバーを設定しようとしていますが、ルールのいくつかの組み合わせを試した後でも、ポートを確認できます。

このリクエストをブロックするためのヒントや必要なルールのセットを誰かに教えてもらえますか？

nmap --scanflags SYN,FIN xxx.xxx.xxx.xxxを使用して、iptablesがブロックしているかどうかをテストしています。

Blagomir · Answer

私はこのSYN攻撃を防ぐために何かを使用します。それがあなたのケースに正しいかどうかはわかりませんが、あなたは見てみるかもしれません。 1秒あたりのリクエスト数をカウントし、1秒でX（私の場合は20）を超えるリクエストがあるIPをブロックします。私のために働きます。

iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j DROP

Spencer Rathbun · Answer

Synフラグが設定されている場合、このルールは一致します

iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP

そしてこれはFINフラグに一致します

iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST FIN -j DROP

synルールはデバイスの着信tcp接続をまったく防止するため、これを微調整する必要があることに注意してください。おそらく、ブロックする特定のポートを設定しますか？

pepoluan · Answer

私のコミュニティWikiをチェックしてください： iptablesのヒントとコツ

特に次の「答え」：回答＃24571

閉塞を有効にするには、-t raw -A PREROUTINGに配置する必要があることに注意してください

dgq8 · Answer

ネット上に「ネットワークスキャンの検出と欺瞞」というタイトルのドキュメントがあります。このドキュメントでは、分析の詳細を説明し、最適なブロッキングパラメータを見つけます。