Versuch, die Anti-TCP-SYN-Flutangriffsregel IPTables zu verstehen

1619
frank_volpi

Ich arbeite gerade an einer Universitätsaufgabe. Ich lerne etwas über Firewalls und muss IPTables auf einem Ubuntu-Computer konfigurieren, um einen TCP-SYN- Flutangriff zu verhindern .

Ich verstehe, dass diese Art des Angriffs darin besteht, einem Server eine große Anzahl von SYN-Anforderungen zu senden, ohne dass nach seiner SYN-ACK-Antwort ein ACK folgt, was dazu führt, dass der Server wartet und seine Ressourcen verschwendet.

Bei der Suche im Internet habe ich diese IPTables-Regel auf mehreren Websites gefunden:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP 

Ich kann nicht verstehen, wie dieser Eintrag den Angriff verhindern soll. Ich interpretiere es als "Trennen einer neuen TCP-Verbindung ohne SYN-Flag". Vermisse ich etwas?

0
Vielleicht könnten Sie versuchen, den Schalter "Unclean Match" oder "Limit Match" zu verwenden. zB iptables -A FORWARD -p tcp --syn -m limit --limit 1 / s -j ACCEPT Tech-IO vor 7 Jahren 0

2 Antworten auf die Frage

0
MarkoPolo

Diese iptables-Regel wird SYN-Flutangriffe nicht verhindern. Wie Sie sagen, werden alle neuen Nicht-SYN-TCP-Pakete gelöscht. Es werden nur neue TCP-Verbindungen akzeptiert, die ein SYN-Paket enthalten.

Um SYN-Flood-Angriffe mit iptables zu verhindern, müssen Sie eine Ratenbegrenzung verwenden.

Danke für deine Hilfe. Die Artikel, die ich gelesen hatte, waren immer noch ein Geheimnis, aber zumindest konnte ich eine IPTables-Regel finden, die auf der Tarifbegrenzung basiert, um sie in meinen Auftrag aufzunehmen! frank_volpi vor 7 Jahren 0
-3
Ipor Sircer

Synflood ist eine so veraltete Technik wie Winuke. Der Linux-Kernel enthält seit 1999 einen eigenen Schutz (net.ipv4.tcp_syncookies) (!). Sie müssen ihn also nur mit sysctl aktivieren - dies ist jedoch lange Zeit Standard.

sysctl net.ipv4.tcp_syncookies=1 
In der Frage wird ausdrücklich nach einer Klarstellung einer bekannten IPTables-Regel gefragt, um SYN-Flutungen zu verhindern. Dies ist keine alternative Methode zur Verhinderung von SYN-Flutungen. JakeGould vor 7 Jahren 0
Dies ist die empfohlene Methode seit 1999, daher ist die Verwendung von iptables sinnlos. Wenn es eine bekannte Regel war, dann hat er sie bereits im Internet gefunden. Ipor Sircer vor 7 Jahren 0
Bitte lesen Sie die Frage noch einmal: ** „Ich arbeite gerade an einem Universitätsauftrag. Ich lerne etwas über Firewalls und muss iptables auf einem Ubuntu-Computer konfigurieren, um einen TCP-Syn-Flutangriff zu verhindern. “** Die Aufgabe konzentriert sich auf Firewalls und fordert eine * Erklärung * zur Funktionsweise dieser IPTables-Regel auf. Es * fragt * nicht nach einer alternativen Methode. JakeGould vor 7 Jahren 0
SYN-Flut ist veraltet? Huh. Es wird also nicht als Schlüsselelement des [Mirai] (http://www.itworldcanada.com/article/reports-offer-more-detail-on-mirai-iot-botnet-locky-ransomware/388547) [botnet ] (http://thehackernews.com/2016/10/mirai-botnet-iot-malware.html), die für einen 620-Gbit / s-Angriff auf [Krebs-Website] verantwortlich war (https://krebsonsecurity.com/2016/09/ krebsonsecurity-hit-with-record-ddos /) oder der 1,2-Tbit / s-Angriff auf [Dyn] (http://www.networkworld.com/article/3134057/security/how-the-dyn-ddos-attack-unfolded) .html)? Ja, klingt ziemlich trivial wie ein Winnuke für mich. MarkoPolo vor 7 Jahren 0
Ich verstehe, dass Sie sich leidenschaftlich mit dem Thema befassen, aber ich muss die Aufgabe heute abgeben und habe immer noch keine Ahnung, warum diese IPTables-Regel den Angriff verhindern soll. frank_volpi vor 7 Jahren 0