LINUX.ORG.RU
ФорумAdmin

tarpit or drop

 , , tarpit


0

1

Что все-таки лучше drop или tarpit? tarpit вроде как ловушка, но все равно лезет и лезет. Вот кусочек.

Chain f2b-exim (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 3423  141K TARPIT     tcp  --  *      *       5.188.206.203        0.0.0.0/0            -j TARPIT --tarpit 
 3872  160K TARPIT     tcp  --  *      *       5.188.206.200        0.0.0.0/0            -j TARPIT --tarpit 
 3492  144K TARPIT     tcp  --  *      *       5.188.206.201        0.0.0.0/0            -j TARPIT --tarpit 
 3640  150K TARPIT     tcp  --  *      *       5.188.206.196        0.0.0.0/0            -j TARPIT --tarpit 
 3537  146K TARPIT     tcp  --  *      *       5.188.206.198        0.0.0.0/0            -j TARPIT --tarpit 
 3341  138K TARPIT     tcp  --  *      *       5.188.206.199        0.0.0.0/0            -j TARPIT --tarpit 
 3591  153K TARPIT     tcp  --  *      *       5.188.206.202        0.0.0.0/0            -j TARPIT --tarpit 
 3427  141K TARPIT     tcp  --  *      *       5.188.206.197        0.0.0.0/0            -j TARPIT --tarpit 
 3694  152K TARPIT     tcp  --  *      *       5.188.206.194        0.0.0.0/0            -j TARPIT --tarpit 
 3902  161K TARPIT     tcp  --  *      *       5.188.206.195        0.0.0.0/0            -j TARPIT --tarpit 
  120  4920 TARPIT     tcp  --  *      *       87.246.7.212         0.0.0.0/0            -j TARPIT --tarpit 
  432 17856 TARPIT     tcp  --  *      *       77.247.110.150       0.0.0.0/0            -j TARPIT --tarpit 
  192  7860 TARPIT     tcp  --  *      *       37.212.48.112        0.0.0.0/0            -j TARPIT --tarpit 
    0     0 TARPIT     tcp  --  *      *       37.0.11.239          0.0.0.0/0            -j TARPIT --tarpit 
 1633  702K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   18  1448 TARPIT     tcp  --  *      *       42.159.200.101       0.0.0.0/0            -j TARPIT --tarpit 
   22  1136 TARPIT     tcp  --  *      *       42.192.15.244        0.0.0.0/0            -j TARPIT --tarpit 
   31  2076 TARPIT     tcp  --  *      *       23.94.198.134        0.0.0.0/0            -j TARPIT --tarpit 
   52  2388 TARPIT     tcp  --  *      *       206.189.104.21       0.0.0.0/0            -j TARPIT --tarpit 
   85  3826 TARPIT     tcp  --  *      *       1.15.73.182          0.0.0.0/0            -j TARPIT --tarpit 
   67  3508 TARPIT     tcp  --  *      *       45.5.195.205         0.0.0.0/0            -j TARPIT --tarpit 
  102  4988 TARPIT     tcp  --  *      *       1.15.32.124          0.0.0.0/0            -j TARPIT --tarpit 
  134  6248 TARPIT     tcp  --  *      *       128.199.174.60       0.0.0.0/0            -j TARPIT --tarpit 
  139  5968 TARPIT     tcp  --  *      *       62.234.42.165        0.0.0.0/0            -j TARPIT --tarpit 
   87  4348 TARPIT     tcp  --  *      *       119.29.200.79        0.0.0.0/0            -j TARPIT --tarpit 
   12   728 TARPIT     tcp  --  *      *       143.110.170.102      0.0.0.0/0            -j TARPIT --tarpit 
   86  3788 TARPIT     tcp  --  *      *       139.59.95.179        0.0.0.0/0            -j TARPIT --tarpit 
   43  2008 TARPIT     tcp  --  *      *       167.99.12.43         0.0.0.0/0            -j TARPIT --tarpit 
   44  2048 TARPIT     tcp  --  *      *       138.68.110.166       0.0.0.0/0            -j TARPIT --tarpit 
   28  1364 TARPIT     tcp  --  *      *       178.128.247.181      0.0.0.0/0            -j TARPIT --tarpit 
   86  3788 TARPIT     tcp  --  *      *       139.59.27.92         0.0.0.0/0            -j TARPIT --tarpit 
   66  3408 TARPIT     tcp  --  *      *       220.180.119.192      0.0.0.0/0            -j TARPIT --tarpit 

★★★★★
Ответ на: комментарий от hbars

tarpit на сервере ничего не жрет

Есть правильно комбинировать с NOTRACK в таблице raw - тогда да. Иначе особо лютый поток запросов может тебе conntrack подушатать(особенно с дефолтными таймаутами)

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Ну не такие уж и атаки. С 100Mb нормально и так. Сервер больше пока для почты... Не для спама :)

hbars ★★★★★
() автор топика

Что все-таки лучше drop или tarpit

drop

tarpit - это специфичная штука, когда тебе нужно обмануть сканеры о наличии открытых портов, про raw регистрант выше написал.

Kolins ★★★★
()
Ответ на: комментарий от Pinkbyte

Кстати, всегда было интересно (но я ленивый)...tarpit эмулирует начало tcp сессии или полноценная сессия в системе открывается?

Kolins ★★★★
()
Последнее исправление: Kolins (всего исправлений: 1)
Ответ на: комментарий от Kolins

Вот и мне интересно. Я думал что если кто-то пришел ко мне и tarpit открывает сессию. Пусть на какое-то время и он висит.
Но.
Все равно ломятся постоянно.
Я понимаю что есть таймаут, но он нифига не вытягивает.

hbars ★★★★★
() автор топика

Зависит от поставленной тобой цели. Какого результата ты хочешь добиться?

slowpony ★★★★★
()
Ответ на: комментарий от hbars

f2b умеет ipset, там есть готовые шаблоны.

типа banaction=iptables-ipset-proto4

Возможно из коробки (v0.11.1) оно неработоспособное, судя по «ipset --create f2b-<name> iphash»

Уже много лет как iphash заменили на «hash:ip»

Про raw - наужно подправить пару строк в actionstart/actionstop, где iptables добавляет/удаляет правила

правил должно быть 2: первое в raw на NOTRACK, а второе в filter на TARPIT

В man iptables-extensions есть пример

vel ★★★★★
()

в tarpit особого смысла нет если говорить о ддосе. Нужно понимать что с другой стороны стоит просто генератор трафика, которому глубоко плевать что там прилетает в ответ или не прилетает. Это если брут паролей какой то происходит и инициатору важен ответ тогда да ресурсы будет тратить никуда не денется, но с другой стороны что такое ресурсы одиночной машины против ботнета?

Для противодействия ддосу netfilter не используется впринципе. Начинать стоит как минимум с маршрутизации в /dev/null неугодных источников. Это для небольших ддос атак. Для более крупных говорить особо смысла тут не имеет потому что этого уже хватит для детекта ддоса сетевом уровне провайдером и принятия соотвествующих мер. У вас «ниговна ниложки» для противостояния самостоятельно чему то большему.

antech
()
Ответ на: комментарий от Pinkbyte

TARPIT тратит больше ресурсов злоумышленника, но и твоих тоже

Фикня у меня тарпит ендлесс стоит на двух серверах. Над ним как мухи зеленые вьются вьетманские хакеры. По топу top ваще не кушает. Ноль просто.

Bootmen ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.