Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.UNIX.BSD
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.UNIX.BSD с датами от 18 Jan 11 22:51:00 до 18 Jan 24 18:16:22, всего сообщений: 10753
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 9937 из 10753 ===================================== RU.UNIX.BSD =
От   : Eugene Grosbein                  2:5006/1           15 Sep 20 04:58:19
Кому : Ruslan Suleimanov                                   15 Sep 20 04:58:19
Тема : Re: SYN Stealth Scan
FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+3a22b8ea
На   : area://RU.UNIX.BSD?msgid=2:467/888+5f5fd593
= Кодировка сообщения определена как: IBM866 =================================
Ответ: area://RU.UNIX.BSD?msgid=2:467/888+5f610be8
==============================================================================
14 сент. 2020, понедельник, в 23:37 NOVT, Ruslan Suleimanov написал(а):
RS>         # Запрет X-сканирования:
 RS>         add 1001 reject log tcp from any to any tcpflags fin, syn, rst, psh,
 RS> ack, urg
 RS>         # Запрет N-сканирования:
 RS>         add 1002 reject log tcp from any to any tcpflags !fin, !syn, !rst,
 RS> !psh, !ack, !urg
 RS>         # Запрет FIN-сканирования:
 RS>         add 1003 reject log tcp from any to any not established tcpflags fin

Чушь полная. Ты на своей стороне не можешь запретить сканировать себя
никаким образом. Самое большое, что ты можешь сделать, это дропнуть
входящие пакеты после того, как они *УЖЕ* пришли к тебе,
но это вовсе не правило reject log tcp - хуже "решения" и придумать
сложно, потому что оно мало того что шлет TCP RST в ответ,
потенциально заставляя твою систему флудить невинную жертву
по подставленному адресу источника, но ещё и нагружает твой CPU
бессмысленной генерацией логов.

А дропнуть бессмысленный входящий флуд ядро может само без всякого
файрвола, тем более что чем больше правил в файрволе, тем больше
нагрузка на обработку этих правил.

Открой для себя sysctl net.inet.tcp.blackhole и
sysctl net.inet.udp.blackhole, а так же подумай,
почему они не включены по умолчанию.

Если очень зудит, можешь попробовать использовать что то типа такого
в /etc/sysctl.conf для маршрутизатора, который не предоставляет
никаких сервисов сам на четвертом уровне TCP/IP (ssh не в счёт):

net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.inet.ip.ttl=80
net.inet.icmp.drop_redirect=1
net.inet.icmp.icmplim=80
net.inet.tcp.blackhole=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.ecn.enable=1
net.inet.tcp.path_mtu_discovery=0

Hа современной FreeBSD 11 это обламывает nmap со сканированием
и tcp-stack fingerpringint (удалённым определением OS),
но это нельзя использовать на серверах с активным использованием
TCP типа веб-прокси, почтовых серверах и прочих.

Eugene
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.081828 секунды