web-dev-qa-db-ja.com

IPスプーフィングを防止するiptablesルール

IPスプーフィングを防止するために、Webフロントエンドボックスに存在する以下のiptablesルールを使用しました。

    -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 255.0.0.0/8 -j DROP
    -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 0.0.0.0/8 -j DROP

以下のルールを追加して、IP Spoofing preventionをさらに強化します

     -A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 255.0.0.0/8 -j DROP
     -A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 169.254.0.0/16 -j DROP
     -A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 240.0.0.0/5 -j DROP

上記のルールを、Apache httpdをリバースプロキシとして実行するプロダクションボックスに追加することをお勧めしますか?このプロダクションボックスは、F5ロードバランサーの背後にあります。

また、上記のルールを効果的に機能させるには、以下のカーネルパラメータを有効にする必要がありますか?

               net.ipv4.conf.all.rp_filter=1
               net.ipv4.conf.all.log_martians=1
               net.ipv4.conf.default.log_martians=1
linuxddosip-spoofingiptables
1
Zama Ques
iptables -N spoofing
iptables -I spoofing -j LOG --log-prefix "Spoofed source IP"
iptables -I spoofing -j DROP

iptables -A INPUT -s 255.0.0.0/8 -j spoofing
iptables -A INPUT -s 0.0.0.8/8 -j spoofing

これにより、ログとドロップルールを何度も何度も複製する必要がなくなります。

悪意のある人がなりすましを止めることはできません。スプーフィングされたIPは、TCPが要求する3ウェイハンドシェイクを実行できませんが、UDPにはそのような制限はありません。また、ハッカーがあなたのIPを偽装してgoogle.comなどに送信した場合、ハッカーがあなたが接続しようとしたと思ってあなたのIPに接続しようとします。

現在、一部のISPはこのようなことを制限していますが、多くのISPはまだ制限していません。

1
cybernard