iptables reset tcp connect

0

0

Есть в iptables ресет для tcp-соединения

iptables .... -p tcp ... -j REJECT --reject-with tcp-reset

Как я понимаю, его можно применять только для новых соединений ( т.е. на --syn ). Если такое использовать для установленного соединения, то приемной стороне можно легко устроить DoS ? (ресет отправляется передающей стороне).

Что мешает посылать ресеты в обе стороны ( ведь номера последовательностей известны )?

К чему этот вопрос: для iptables есть layer7-extension (кернельный, замечательно работающий уже несколько лет и поддерживаемый для всех версий ядер).

Дописать туда паттерн (regexp) для блокировки некой последовательности символов не сложно. Дальше, если последовательность нашлась, то соединение можно разорвать. В сочетании с ipset получаем неплохую систему блокировки нежелательных запросов. Но получается, что ресет толком не сделать.

Ссылка

←	Отступ в заголовке, TeX

Лагает убунту 11.04!

→

то приемной стороне можно легко устроить DoS ?

Устраивать DoS с помощью iptables?

Что мешает посылать ресеты в обе стороны ( ведь номера последовательностей известны )?

Вроде как не известны, точнее ядро их не держит в таблице conntrack, с которой работает iptables. Но можно написать патч и свой модуль iptables.

Дальше, если последовательность нашлась, то соединение можно разорвать. В сочетании с ipset получаем неплохую систему блокировки нежелательных запросов. Но получается, что ресет толком не сделать.

Основная проблема DoS это просто возможность установления соединения, каждый tcp-сокет, по которому сервер готов принимать запрос, берёт какую-то часть далеко не бесконечных ресурсов системы. Уж лучше просто DROP всё с плохих ip-адресов, чтобы tcp-соединения с этих адресо вобще не устанавливались.

mky ★★★★★
(01.06.13 07:43:14 MSK)

Ответ на: комментарий от mky 01.06.13 07:43:14 MSK

Что мешает посылать ресеты в обе стороны ( ведь номера последовательностей известны )?
Вроде как не известны, точнее ядро их не держит в таблице conntrack, с которой работает iptables. Но можно написать патч и свой модуль iptables.

К нам пришел tcp-шный пакет относящийся к установленному соединению, в нем есть оба номера последовательности!

Основная проблема DoS это просто возможность установления соединения, каждый tcp-сокет, по которому сервер готов принимать запрос, берёт какую-то часть далеко не бесконечных ресурсов системы. Уж лучше просто DROP всё с плохих ip-адресов, чтобы tcp-соединения с этих адресо вобще не устанавливались.

тех кому нельзя подключаться дропают на этапе SYN, а я говорю про ситуацию, когда нужно разорвать соединение в процессе обмена данными.

Сейчас ситуация такова:

клинент подключился к серверу (установлено tcp соединение)
клиент посылает запрос. По содержимому запроса мы понимаем, что этот запрос нельзя передавать на сервер и делаем REJECT с tcp-reset.
Клиент получает его и благополучно завершает соединение, а сервер так и сидит с открытым коннектом, пока на кончится таймаут + таймауты tcp на закрытие соединения. Т.е. защищаемому серверу организовывается DoS.

vel ★★★★★
(01.06.13 11:37:52 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Отступ в заголовке, TeX

General

Лагает убунту 11.04!

→

Похожие темы