Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> DoS ::::: способы защиты в Linux, предлагаем свои варианты
Boffin
Дата 28.02.2005 - 23:58
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


Собственно сабж


--------------------

Caps Lock - враг человека! Иногда ваши задумчивые рассуждения превращаются в идиотские лозунги, случайно задев эту клавишу.
Голосуйте за реорганизацию клавиатурной раскладки! (с)
PMСайт пользователяICQ
Top
Boffin
Дата 1.03.2005 - 04:16
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
/sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
/sbin/sysctl -w net.ipv4.conf.all.log_martians=1
/sbin/sysctl -w net.ipv4.conf.all.rp_filter=1


--------------------

Caps Lock - враг человека! Иногда ваши задумчивые рассуждения превращаются в идиотские лозунги, случайно задев эту клавишу.
Голосуйте за реорганизацию клавиатурной раскладки! (с)
PMСайт пользователяICQ
Top
mulder
Дата 9.08.2005 - 19:54
Цитировать сообщение
Offline



.:in root we trust:.
*****

Профиль
Группа: -vip-
Сообщений: 1181
Пользователь №: 1151
Регистрация: 9.08.2005



Рейтинг:
(70%) XXXX-


Как вариант при Dos атаке я обычно ограничиваю колличество запросов на сервис при помощи iptables -j --limit на конкретный порт, плюс настройки ядра указанные выше cheezy.gif
PM
Top
nmalykh
Дата 9.08.2005 - 21:11
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -editors-
Сообщений: 391
Пользователь №: 13
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Цитата (Boffin @ 1.03.2005 - 04:16)
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

Первый параметр никак не повлияет, если на Вас начнется DoS-атака. Влияние второго параметра также спорно и более того, для хостов зачастую лучше устанавливать значение 1, особенно для тех случаев, когда хост находится внутри сети со сложной топологией и множеством возможных маршрутов.


--------------------
С уважением, Николай Малых
PM
Top
nmalykh
Дата 9.08.2005 - 21:16
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -editors-
Сообщений: 391
Пользователь №: 13
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Цитата (Boffin @ 1.03.2005 - 04:16)
/sbin/sysctl -w net.ipv4.conf.all.log_martians=1

А вот этот вариант может даже поспособствовать атакующему, если при атаке будут использоваться некорректные (недопустимые) адреса в поле отправителя. В таком случае установка значения 1 заставит систему писать в журнальный файл информацию о каждом пакете, что наверняка не будет способствовать снижению нагрузки на атакуемый компьютер.


--------------------
С уважением, Николай Малых
PM
Top
nmalykh
Дата 9.08.2005 - 21:20
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -editors-
Сообщений: 391
Пользователь №: 13
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Цитата (Boffin @ 1.03.2005 - 04:16)
/sbin/sysctl -w net.ipv4.conf.all.rp_filter=1

Это значение также не будет способствовать защите от атаки, поскольку заставит атакуемый хост проверять обратный путь к атакующему, внося дополнительную нагрузку на систему.
Кроме того, в сетях со сложной топологией (петли) установка такого значения на маршрутизаторе может сама по себе привести к возникновению проблем.


--------------------
С уважением, Николай Малых
PM
Top
nmalykh
Дата 9.08.2005 - 21:23
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -editors-
Сообщений: 391
Пользователь №: 13
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Цитата (Boffin @ 1.03.2005 - 04:16)
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0

В большинстве случаев этот параметр никак не повлияет на эффективность DoS-атаки, поскольку определяет лишь пересылку пакетов с групповыми адресами и на хостах просто не работает.
Параметр может оказаться актуальным лишь для маршрутизаторов со включенной опцией CONFIG_MROUTE в ядре.


--------------------
С уважением, Николай Малых
PM
Top
nmalykh
Дата 9.08.2005 - 21:27
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -editors-
Сообщений: 391
Пользователь №: 13
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


На мой взгляд, общих методов защиты от DoS-атак просто не существует. Защита от конкретной атаки должна строиться в зависимости от того, что и как атакуют. Если атака направлена на тупое забивание внешних каналов входящими пакетами, тут никакие локальные ухищрения не помогут. Если жа атакуют какую-либо конкретную службу, сдедует попытаться идентифицировать паразитный трафик и фильтровать его.


--------------------
С уважением, Николай Малых
PM
Top
nmalykh
Дата 9.08.2005 - 21:29
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -editors-
Сообщений: 391
Пользователь №: 13
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Цитата (mulder @ 9.08.2005 - 19:54)
Как вариант при Dos атаке я обычно ограничиваю колличество запросов на сервис при помощи iptables -j --limit на конкретный порт, плюс настройки ядра указанные выше cheezy.gif

Классический вариант "палки о двух концах". С помощью такой фильтрации вы отсекаете не только пакеты, относящиеся к атаке, но и часть легитимных запросов на соединение. То есть, в конечном итоге, способствуете атакующему.


--------------------
С уважением, Николай Малых
PM
Top
ov3rm1nd
Дата 17.05.2006 - 08:38
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 6
Пользователь №: 3410
Регистрация: 17.05.2006



Рейтинг:
(0%) -----


syncookie

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Что такое SYN cookie?

SYN cookie – это одно из решений задачи выбора начальных порядковых номеров TCP серверами TCP. Разница между начальными порядковыми порядковыми номерами на серверах и клиентах заключается в:

*

5 старших битов: значение t mod 32, где t – 32-разрядный счетчик временных интервалов, значение которого увеличивается на 1 каждые 64 секунды;
*

следующие 3 бита: кодированное значение MSS6, выбранное сервером в ответ на MSS клиента;
*

младшие 24 бита: выбранная сервером на основе IP-адресов и номеров портов отправителя и получателя, а также величины t значение секретной функции.

Такой алгоритм выбора начального порядкового номера соответствует основным требованиям протокола TCP, в соответствии с которыми номера должны увеличиваться достаточно медленно и начальные порядковые номера для серверов растут несколько быстрее, нежели порядковые номера для клиентов.

Серверы, использующие функции SYN cookie, не отвергают соединения при заполнении очереди SYN. Взамен они передают инициатору соединения пакет SYN+ACK, в точности соответствующий пакету, который был бы передан при большем размере очереди SYN (исключения: сервер должен отвергать (reject) опции TCP такие, как большое окно, и должен использовать 1/8 значения MSS, которое он может кодировать). При получении пакета ACK, сервер убеждается в работе секретной функции для последнего (recent) значения t и перестраивает запись очереди SYN в соответствии со значением MSS.

Атаки SYN flood представляют собой просто серии пакетов SYN с подставными адресами IP. Эти адреса выбираются случайным образом и не содержат никакой информации об атакующей стороне. Атаки SYN flood заполняют SYN-очереди серверов. Обычно это приводит к тому, что сервер отвергает входящие соединения. Использующий функции SYN cookie сервер будет продолжать нормально работать во время таких атак, Максимальное воздействие атаки SYN flood на такой сервер будет состоять в блокировке использования больших окон.

text from protocols.ru

links
https://cr.yp.to/syncookies.html
https://www.usenix.org/publications/library...html/node9.html
PMПисьмо на e-mail пользователю
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса

 





Купить плитку мозаику в интернет магазине посмотреть здесь dsk-remont.ru