Попытка понять правило анти-TCP SYN флуд атаки IPTables

1506
frank_volpi

Я сейчас работаю в университете. Я изучаю брандмауэры, и мне нужно настроить IPTables на компьютере с Ubuntu, чтобы предотвратить атаку TCP SYN .

Я понимаю, что этот тип атаки заключается в отправке серверу большого количества запросов SYN без последующего подтверждения ACK после ответа SYN-ACK, в результате чего сервер ожидает и, следовательно, тратит свои ресурсы.

Просматривая Интернет, я нашел это правило IPTables на нескольких веб-сайтах:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Я не могу понять, как эта запись должна предотвратить атаку. Я интерпретирую это как «Отключить любое новое TCP-соединение без флага SYN». Я что-то упустил?

0
возможно, вы могли бы попытаться использовать переключатель «нечистое соответствие» или «предельное соответствие». например, iptables -A FORWARD -p tcp --syn -m limit --limit 1 / s -j ПРИНЯТЬ Tech-IO 7 лет назад 0

2 ответа на вопрос

0
MarkoPolo

Это правило iptables не предотвратит атаки SYN-флуд. Как вы говорите, он будет отбрасывать любые новые, не SYN TCP-пакеты. Он будет принимать только новые соединения TCP, которые включают пакет SYN.

Чтобы предотвратить SYN-атаки с использованием iptables, вам нужно использовать ограничение скорости.

Спасибо за помощь. То, на что ссылались статьи, о которых я читал, до сих пор остается загадкой, но, по крайней мере, я мог найти правило IPTables, основанное на ограничении скорости, для включения в мое назначение! frank_volpi 7 лет назад 0
-3
Ipor Sircer

Synflood - такая устаревшая техника, как winnuke. Ядро Linux имеет собственную защиту (net.ipv4.tcp_syncookies) с 1999 года (!), Поэтому ваша единственная задача - включить его с помощью sysctl, но это долгое время используется по умолчанию.

sysctl net.ipv4.tcp_syncookies=1
Вопрос, в частности, заключается в том, чтобы получить разъяснения по хорошо известному правилу IPTables для предотвращения наводнений SYN, а не к альтернативному способу предотвращения наводнений SYN. JakeGould 7 лет назад 0
Это рекомендуемый метод с 1999 года, поэтому использование iptables бессмысленно. Если это было хорошо известное правило, то он уже нашел его в Интернете. Ipor Sircer 7 лет назад 0
Пожалуйста, прочитайте вопрос еще раз: ** «Я сейчас работаю в университете. Я изучаю брандмауэры и мне нужно настроить iptables на машине с Ubuntu, чтобы предотвратить атаку TCP Syn. »** Назначение сосредоточено на брандмауэрах и просит * объяснить *, как работает это правило IPTables. Это * не * просит альтернативного метода. JakeGould 7 лет назад 0
SYN флуд устарел? Да. Поэтому он не используется в качестве ключевой части [Mirai] (http://www.itworldcanada.com/article/reports-offer-more-detail-on-mirai-iot-botnet-locky-ransomware/388547) [ботнет ] (http://thehackernews.com/2016/10/mirai-botnet-iot-malware.html), который был ответственен за атаку 620 Гбит / с на [сайт Кребса] (https://krebsonsecurity.com/2016/09/ krebsonsecurity-hit-with-record-ddos /) или атака со скоростью 1,2 Тбит / с на [Dyn] (http://www.networkworld.com/article/3134057/security/how-the-dyn-ddos-attack-unfolded .html)? Да, звучит довольно банально, как виннуке для меня. MarkoPolo 7 лет назад 0
Я понимаю, что вы увлечены этой темой, но я должен сдать задание сегодня и до сих пор не понимаю, почему это правило IPTables должно предотвратить атаку. frank_volpi 7 лет назад 0

Похожие вопросы