LINUX.ORG.RU

iptables 1.4.6 с поддержкой критерия OS Fingerprinting

 , , , ,


0

0

Вышел релиз iptables 1.4.6 — интерфейса к Linux-фаерволу netfilter.

Основным новшеством данного релиза является поддержка критерия osf (passive OS fingerprinting), аналогичного критерию os OpenBSD-фаервола pf. Оба этих критерия позволяют по TCP SYN-пакету определить семейство и, в некоторых случаях, даже примерную версию операционной системы, отправившей этот пакет. Детекция производится на основании анализа ряда характеристик пакета, таких как размер TCP-окна, максимальный размер сегмента (MSS), опции TCP, бит DF и т.п. Совокупность значений этих параметров, позволяющая однозначно идентифицировать систему-отправителя, называет сигнатурой. Существующий на настоящий момент список сигнатур, сопровождаемый сообществом OpenBSD, весьма обширен.

Пример использования:

iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP 
позволит заблокировать соединения, инициируемые операционными системами семейства Windows (опция --ttl 2 предписывает не учитывать TTL при детекции).

Критерий osf был реализован Евгением Поляковым (разработчиком POHMELFS и автором порта CARP под Linux) еще в 2003 году. Однако соответствующий модуль netfilter был принят в ядро лишь в июне текущего года, а интерфейс к нему на уровне iptables появился только сейчас.

Заметим, что для использования данного критерия необходима утилита nfnl_osf, обеспечивающая подгрузку базы сигнатур для модуля детекции через интерфейс nfnetlink. Будем надеяться, что мейнтейнеры соответствующих пакетов в наших любимых дистрибутивах вскоре обратят свое внимание на эту проблему. Пока же самые нетерпеливые могут собрать эту утилиту по старинке, через make bin (для сборки нужны заголовки библиотеки nfnetlink).

Среди других изменений в данном релизе iptables можно отметить поддержку ядра 2.6.32, исправление ряда мелких проблем в отдельных модулях (xt_iprange, xt_conntrack), поправки в man-страницах.

>>> ChangeLog

★★★★

Проверено: maxcom ()
Последнее исправление: cetjs2 (всего исправлений: 1)

Теперь можно будет закрывать доступ «меньшинству» на уровне провайдеров?

Igron ★★★★★
()
Ответ на: комментарий от Igron

> Теперь можно будет закрывать доступ «меньшинству» на уровне провайдеров?

Нет, теперь наконец-то можно будет адекватно оценить количество «меньшинства», что не удалось сделать counter.li.org

annulen ★★★★★
()
iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Это точно ОН!

ratatosk
()

Пример использования мегазачётный :-))

Deleted
()
Ответ на: комментарий от registrant

это уже было в патч оф матик для йпи таблс

anonymous
()

Судя по этому:

http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os?rev=1.22;content-type=tex...

Ничего не получится, ну заблокируются хп-шки и 2003, а дальше окажется что вредят-то вистоводы :)

Вообще сигнатуры можно переделывать с рядом тулоз и еще в добавок генерировать.

gh0stwizard ★★★★★
()

> iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Ъ :)

YAR ★★★★★
()

впереди планеты всей

lol'd hardly linux настолько продвинутый и быстрый, что наконец-то реализует функционал, имеющийся в бзде уже много лет. Более того, всего 6 лет понадобилось, чтобы принять нужные правки в ядро Нет предела совершенству!

anonymous
()
Ответ на: комментарий от gh0stwizard

> Вообще сигнатуры можно переделывать с рядом тулоз и еще в добавок генерировать.
Кхм, поясните, что именно должно было этим быть сказано?
То, что можно перекрутить параметры в пакетах и отпечаток уже будет другой итак понятно.

Lumi ★★★★★
()
Ответ на: впереди планеты всей от anonymous

В виде набора патчей это было уже ой как давно. Кому было нужно, тем не составляло труда это использовать.

Lumi ★★★★★
()

Ах..енно!!!!

anonymous
()
Ответ на: комментарий от Lumi

>Кхм, поясните, что именно должно было этим быть сказано?

Этим должно быть сказано, что идея хоть и хорошая, как и реализация, за что спасибо автору. Однако применения шибкого я этому не вижу. Можно, правда, всем виндузятником в сети ограничить скорость по этому параметру до 56Кб/с =))

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

нэ. зарезать виндузятникам порно, а для линускоидов оставить (мотивировав тем, что там вирусы). вот истинный план захвата мира!

anonymous
()

О! Теперь можно будет мух от котлет отделять )))

Alesh
()

Да, да!!! Макс, апгрейдимся!!! Я сам пересоберу для тебя ядро и iptables, и даже заверну в RPM!!! :-)

no-dashi ★★★★★
()

В реале все наоборот может получиться, средствами Linux блокируют доступ не Windows-машин.

praseodim ★★★★★
()

/me добавил эту фичу в ТЗ на систему управления трафиком.

ei-grad ★★★★★
()

Не прошло и десяти лет...

anonymous
()
Ответ на: комментарий от gh0stwizard

> Можно, правда, всем виндузятником в сети ограничить скорость по этому параметру до 56Кб/с =))

Чем инициировать массовую переустановку «окон» и как следствие - выделение большого количества тепла :) (шутка)

anTaRes ★★★★
()

замечательно, теперь разрешат публиковать новости и скриншоты ЛОРа только с систем Linux/Mac/BSD ;))))

los_nikos ★★★★★
()
Ответ на: комментарий от gh0stwizard

> Однако применения шибкого я этому не вижу.

Теперь усовершенствовать антивирусную защиту можно не только приказом по предприятию «Доступ в сеть интернет разрешается осуществлять только из UNIX-подобных операционных систем», но и подкрепить эту инструкцию техническими методами.

VladimirP ★★★★
()
Ответ на: комментарий от ArtemZ

Отлично, Артем! Следующим шагом продвижения вашего мегахостинга в биомассы станет ввод сфинктер-зондов клиентам?

shutty
()

Да, не прошло и десяти лет, как это теперь к люнеху прикрутили по дефолту :)

wilkomen-to-lor
()
Ответ на: комментарий от dikiy

> Единственное плохо, что теперь смогут nmap зарезать сразу.

Тогда в него добавят фичу притворяться заданной ОС. Если еще не.

praseodim ★★★★★
()

свисты и семерки разве нет нет в списке? тогда НЕ НУЖНО, можете закапывать!

wilkomen-to-lor
()

>>iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Тонко. :-)

теперь переводить пользователей на линукс будет в 9000 раз проще :)

Пример использования мегазачётный :-))

iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Ъ :)

Можно, правда, всем виндузятником в сети ограничить скорость по этому параметру до 56Кб/с =))

нэ. зарезать виндузятникам порно, а для линускоидов оставить (мотивировав тем, что там вирусы). вот истинный план захвата мира!

О! Теперь можно будет мух от котлет отделять )))

Здорово, я только вчера правда прикрутил блокировку windows машин по http_user_agent к nginx

Шикарно. ЛОР во всей красе. Отписалось толпа ололокающего школия. Кроме меленьких пакостей ничего в голову не пришло. Ну да, дверной звонок нужен для того, чтобы позвонить и гыгыкая убежать.

m00n
()

Кстати, я что-то не понимаю... я нечасто сюда заглядываю, но откуда столько идиотов с масками?

m00n
()

maxcom добавь эту волшебную строку iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP на сервере linux.org.ru

aspel
()
Ответ на: комментарий от m00n

это матёрые вендузятнички, привыкшие жить с антивирусом на компе и вот теперь люто, бешено боящиеся заразиться свинным грипом по сети в своей windows7 ;)

wilkomen-to-lor
()

*погладил шлюз на опенке с пф*

велосипедисты

wlan ★★
()
Ответ на: комментарий от m00n

советую почитать на википедии, что такое юмор. если чтение в вашей цероквно-приходской школе проходили.

anonymous
()
Ответ на: комментарий от m00n

Кстати, я что-то не понимаю... я нечасто сюда заглядываю, но откуда столько идиотов с масками?

они не c масках, просто притворяются пользователями Linux

los_nikos ★★★★★
()
Ответ на: комментарий от aspel

по статистике, посетителей под ИЕ больше, чем вендузовых и бздевых тролей вместе взятых => вывод - большинство так называемых лунексоидов ещё большие вендузятники

но мой мнения такая - надо блочить :)

wilkomen-to-lor
()
Ответ на: комментарий от anonymous

> советую почитать на википедии, что такое юмор. если чтение в вашей цероквно-приходской школе проходили.

Евгений Вагиныч, Вы тоже тут?

m00n
()
Ответ на: комментарий от VladimirP

>> Однако применения шибкого я этому не вижу.

Теперь усовершенствовать антивирусную защиту можно не только приказом по предприятию «Доступ в сеть интернет разрешается осуществлять только из UNIX-подобных операционных систем», но и подкрепить эту инструкцию техническими методами.

Класс! Вполне применимо ;)

mao-tm
()
Ответ на: комментарий от mao-tm

Когда понесешь приказ на подпись не забудь прихватить заявление о рассторжении по собственному желанию, чтоб 2 раза не бегать.

m00n
()

Теперь закрывать порты на шлюзах по которым распространяются windows вирусы можно только для ос windows. Замечательно.

bigfrogg
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.