Re: jak wyciąć na iptables skanoanie serwera WWW?
On Sun, 8 Jun 2003, Leonard Milcin, Jr wrote:
> Cezary Siwek wrote:
> > -
> > 213.89.63.151 - - [29/Nov/2002:09:45:04 +0100] "GET
> > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
> >
> >
> > Witam !
> >
> > Najprosciej oczywiscie zrobic to mozna po stringu:
> >
> > iptables -A INPUT -m string --string "cmd.exe?"-j DROP
> > iptables -A INPUT -m string --string "defaunt.ida?"-j DROP
> >
> > Pamietaj tylko o odpowiednio przygotowanym wczesniej kernelu i iptables
> > (patch-o-matic)
>
> Proste i głupie, gdyż powodujesz niepotrzebne obciążenie systemu.
>
I tak i nie. Dodanie sztywnych regol do lancucha spowoduje wyciecie
calkowite. A mozna sobie wyobrazis sytuacje, ze za maskarada siedzi 100
userow, jeden sieje a Ty blokujac IP odetniesz wszystkich od zyciodajnych
informacji znajdujacych sie na stronie.
Proste, skuteczne ale troche za bardzo.
A z tym obciazeniem to bym tak nie przeszkadzal. Administruje systemem w
ktorym wstawilem okolo 250 regolek. ponad 100 to regolki
modyfikujace (-t mangle). Jedna regolka string. NAT. Podzial pasma (htb)
po 55 regolek na eth0 i eth1. Apache, ftp (uzywane raczej sporadycznie,
ale caly czas dzialajace), ssh oczywiscie i bind9.
Lacze to 512 in 112 out (lub jakos tak).
Serwer P120, 32MB RAM, woody, linux 2.4.20-grsec
Obciazenie procesora rzadko przekracza 10%.
> Znacznie lepiej napisać skrypt, który nasłuchuje na access logu z apacha
> i wrzuca reguły do łańcucha.
Zgadzam sie z pierwszysmi czterema wyrazami :)))
Inna sprawa jest, ze nie probowalem tego na 100mbit/s bo nie bylo mi to do
niczego potrzebne, przy duzych przeplywach to o czym piszesz zaczeloby na
pewno miec znaczenie.
Pozdrawiam
--
mirek
p.s. na 7thGuard.net pojawil sie ostatnio jakis news o nowym
klasyfikatorze pakietow.
Reply to: