Autor |
Sõnum |
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
Sõber tegi rünaku muu serverile ja port 80 oli maas mingi win32 dos progre mis tega selliste rünakute vastu ??? ( ta õnneks katsetas )
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Mida sa tulemüürina kasutad ?
Kas ipfw -d ?
Keera tulemüüris icmp liiklus kinni.
Mõtekas on ka sissetulevad udp datagrammid filtreerida kuna teatud dos rünnakud kasutavad ka udp -d.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
täpsem laks selle kohta ??
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Mis su serveri soft on kas FreeBSD ?
Mul on ipfw kernelisse kompileeritud vaikimisi keelab igasuguse liikluse siis ma lihtsalt avan vajalikke porte.
Siis kui sa icmp pakette eraldi ei luba ipfw filtreerib neid automaatselt, ma ise olen lubanud ja pole keegi siiamaani dos rünnakuid sooritanud.....
Vaata "man ipfw"
Ma kasutan shell skripti mis laeb reeglid kernelisse siis ma ei pea iga kord kui reegleid muudan alglaadimist tegema.
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
Ma just lugesin handbookist, et ipfw on olemas ka moodulina standard installil siis pole muud kui paned need rc.confi.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
see vist liiga keeruline mull opiks PCBSD1.2 FreeBSD6.1
et kas saaks vajalikud cmd'd sellise dos attc vastu ??
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
obundra
Vana Pingviin
Vanus: 50
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
johnsmith kirjutas: |
Keera tulemüüris icmp liiklus kinni.
|
Ei tohi tervet ICMP-d kinni panna!Muidu tuleb Markos ja sõidab lõuga Asjakohane link kah.
|
|
|
|
_________________ IT teenused
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Itvend, anna teada mis pordid ja mis protokolliga sul lahti peavad olema ma teen sulle ipfw reeglid kui siin aega saan.
Tegelikult mulle käivad ka pinda need kes icmp ära keelavad.
Ma ise olen lubanud icmp 3,4,8 ja 11 sisse ja kui on vaja kõrgemat turvalisuse taset siis võib 8 lubada ainult tulemüürist välja siis saab teisi pingida aga teised sind ei saa.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
port 21 tcp
port 22 tcp
port 80 tcp
port 27015 udp
port 27016 udp
rokem vist pole asjalike porte
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Pane need /etc/rc.conf:
firewall_enable="YES"
firewall_quiet="NO"
firewall_script="/etc/ipfw.rules"
See script kopeeri /etc ja anna juurena õigused "chmod 740 ipfw.rules"
Ennem muidugi anna talle nimi ipfw.rules.
#!/bin/bash
ipfw -q -f flush
cmd="ipfw -q add"
$cmd 100 pass all from any to any via lo0
$cmd 130 check-state
$cmd 140 allow tcp from me to any keep-state
$cmd 150 allow udp from me to any keep-state
$cmd 160 allow tcp from any to me 80 keep-state
$cmd 170 allow tcp from any to me 21 keep-state
$cmd 171 allow tcp from any to me 22 keep-state
$cmd 175 allow udp from any to me 27015 keep-state
$cmd 178 allow udp from any to me 27016 keep-state
$cmd 180 allow tcp from any to any 49152-65535 #vaja selleks, et ftp töötaks
$cmd 200 allow icmp from me to any keep-state #lubab icmp välja
$cmd 210 allow icmp from any to me icmptypes 3,4,8,11 #keela 8 või kõik ära
$cmd 220 deny ip from any to any #keelab kõik muu
Ma eeldasin, et sul on ainult üks interface ja su server ei ole gateway mille taga on LAN võrk. Serverist välja ma lubasin kõik.
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
johnsmith kirjutas: | Pane need /etc/rc.conf:
firewall_enable="YES"
firewall_quiet="NO"
firewall_script="/etc/ipfw.rules"
Ma eeldasin, et sul on ainult üks interface ja su server ei ole gateway mille taga on LAN võrk. Serverist välja ma lubasin kõik. |
PC-BSD vaikimisi tulemüür on PF.
/etc/rc.conf
Kood: | # Enable PF Firewall
pf_enable="YES"
pf_rules_enable="YES" |
/etc/rc.d/pf_rules
Kood: | #!/bin/sh
# Revision 0.9 Wed Sep 27 22:16:55 EEST 2006
#
# Copyright (c) 2006 Dominique Goncalves
# Copyright (c) 2006 Andrei Kolu
# Modified 2006 Kris Moore (PC-BSD Software)
#
# See COPYING for licence terms.
#
# Create a basic pf.conf.
# Block everything by default,
# Allow everything on lo0,
# Do not create rules on some interface ie: plip0,
# Allow all tcp and udp connections to outside with keep state flags,
# Allow icmp on all interfaces.
#
# PROVIDE: pf_rules
# REQUIRE: netif
# BEFORE: pf
. /etc/rc.subr
name="pf_rules"
rcvar=`set_rcvar`
start_cmd="create_rules"
required_files="$pf_rules"
create_rules ()
{
echo "Creating $pf_rules."
echo "set skip on { lo0 }" > $pf_rules
echo "scrub in all" >> $pf_rules
echo "block drop all" >> $pf_rules
# echo "pass quick on all" >> $pf_rules
echo 'table <blacklist> persist file "/etc/blacklist"' >> $pf_rules
echo "pass out inet proto icmp all icmp-type echoreq keep state" >> $pf_rules
echo "pass in proto tcp from any to any port www flags S/SA synproxy state" >> $pf_rules
for inf in `ifconfig -l` ; do
if `echo $inf | egrep -v 'lo|plip|gif|tun|pfsync' 1>/dev/null` ; then
echo "pass on $inf proto icmp all" >> $pf_rules
# Allow all outgoing traffic
echo "pass out on $inf proto { tcp,udp } from ($inf) to any keep state" >> $pf_rules
# Check if we have a /etc/pf.inports file, and open those ports
if [ -e "/etc/pf.inports" ]
then
for PORT in `cat /etc/pf.inports | grep "^udp: " | cut -d " " -f 2`
do
echo "pass in on $inf proto udp from any to ($inf) port $PORT keep state" >> $pf_rules
done
fi
if [ -e "/etc/pf.inports" ]
then
for PORT in `cat /etc/pf.inports | grep "^tcp: " | cut -d " " -f 2`
do
echo "pass in on $inf proto tcp from any to ($inf) port $PORT keep state" >> $pf_rules
done
fi
# Deny all from our blacklist
echo "block on $inf from <blacklist> to any" >> $pf_rules
fi
done
}
load_rc_config $name
run_rc_command "$1"
|
/etc/pf.inports
Kood: | # (C) 2006 PC-BSD Software
# Modified Andrei Kolu 27.sept.2006
#
# Revision 0.9.1 Wed Sep 27 23:00:17 EEST 2006
#
# List any ports you wish to have opened for incoming traffic
# Used by the pf_enable script in /etc/rc.d
#
# Example: List any ports you wish opened one at a time
# dns server
# udp: 53
# http server
# tcp: 80
#
# Wider range of ports are described with colon
# Example:
# tcp: 444:555
#
#################################
# Echo
#tcp: 7
# qotd (Quote Of The Day)
# tcp: 17
# FTP data (File Transfer Protocol)
tcp: 20
# FTP (File Transfer Protocol)
tcp: 21
# SSH (Secure Shell)
tcp: 22
# Telnet
tcp: 23
# SMTP (Send Mail Transfer Protocol)
#tcp: 25
# WHOIS
#tcp: 43
# DNS (Domain Name Service)
#tcp: 53
# DHCP (Dynamic Host Control Protocol)
#tcp: 68
# TFTP (Trivial File Transfer Protocol)
#tcp: 69
# Finger
tcp: 79
# HTTP (HyperText Transfer Protocol)
tcp: 80
# POP3 (Post Office Protocol, version 3)
tcp: 110
# Portmapper
#tcp: 111
# SFTP (Secure File Transfer Protocol)
tcp: 115
# NNTP (Network New Transfer Protocol)
tcp: 119
# NTP (Network Time Protocol)
tcp: 123
# NetBIOS-ns
tcp: 137
udp: 137
# NetBIOS-dgm
tcp: 138
udp: 138
# NetBIOS
tcp: 139
udp: 139
# IMAP2 (Internet Message Access Protocol 2)
#tcp: 143
# SNMP (Simple Network Management Protocol)
#tcp: 161
# BGP (Border Gateway Protocol)
#tcp:179
# IRC (Internet Relay Chat)
#tcp: 194
# IMAP3 (Internet Message Access Protocol 3)
#tcp: 220
# LDAP (Lightweight Directory Access Protocol)
#tcp: 389
# SSL (Secure Socket Layer)
#tcp: 443
# SMB (NetBIOS over TCP) if you are using Active Directory NetBIOS was moved to 445 after 2000 and beyond, (CIFS)
tcp: 445
# NNTPS (Secure Network News Transfer Protocol)
#tcp: 563
# IPP (Internet Printing Protocol)
#tcp: 631
# LDAPS (Secure Lightweight Directory Access Protocol)
#tcp: 636
# Doom
#tcp: 666
# SAMBA SWAT service (not related to client communication)
#tcp: 901
# SIMAP (Secure Internet Message Access Protocol)
#tcp: 993
# SPOP (Secure Post Office Protocol)
#tcp: 995
# Ports from 49152 to 65535 are known as Dynamic or Private Ports.
# Ports between 1024 and 29151 are known as the Registered Ports.
# Basically, programs are supposed to register their use of these
# ports and thereby try to be careful and avoid stomping on each other.
# Here are some common ports and their programs:
# SubSeven (Trojan - security risk!)
#tcp: 1243
# Lotus Notes
#tcp: 1352
# Microsoft SQL Server
#tcp: 1433
# Citrix ICA Protocol
#tcp: 1494
# Oracle SQL
#tcp: 1521
# Citrix ICA / Microsoft Terminal Server
#tcp: 1604
# NFS (Network File System)
#tcp: 2049
# MySQL
#tcp: 3306
# ICQ
#tcp: 4000
# Yahoo! Messenger
#tcp: 5010
# AOL Instant Messenger
#tcp: 5190
# PCAnywhere
#tcp: 5632
# VNC
#tcp: 5800
# VNC
#tcp: 5900
# X Windowing System
tcp: 6000:6063
# Napster
#tcp: 6699
# SubSeven (Trojan - security risk!)
#tcp: 6776
# Bittorrent
tcp: 6881:6999
# RealServer / QuickTime
#tcp: 7070
# XFS (X Font Server)
#tcp: 7100
# Unreal
#tcp: 7778
# HTTP Proxy
#tcp: 8080
# Quake
#tcp: 26000
# Half-Life
#tcp: 27010
# Quake III
#tcp: 27960 |
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
johnsmith kirjutas: | Pane need /etc/rc.conf:
firewall_enable="YES"
firewall_quiet="NO"
firewall_script="/etc/ipfw.rules"
See script kopeeri /etc ja anna juurena õigused "chmod 740 ipfw.rules"
Ennem muidugi anna talle nimi ipfw.rules.
#!/bin/bash
ipfw -q -f flush
cmd="ipfw -q add"
Ma eeldasin, et sul on ainult üks interface ja su server ei ole gateway mille taga on LAN võrk. Serverist välja ma lubasin kõik. |
FTP ei funka ??
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
itvendpowered kirjutas: | johnsmith kirjutas: | Pane need /etc/rc.conf:
firewall_enable="YES"
firewall_quiet="NO"
firewall_script="/etc/ipfw.rules"
See script kopeeri /etc ja anna juurena õigused "chmod 740 ipfw.rules"
Ennem muidugi anna talle nimi ipfw.rules.
#!/bin/bash
ipfw -q -f flush
cmd="ipfw -q add"
Ma eeldasin, et sul on ainult üks interface ja su server ei ole gateway mille taga on LAN võrk. Serverist välja ma lubasin kõik. |
FTP ei funka ?? |
FTP kasutab porte 20 ja 21.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
tra ikka ei pidanud sea rünakut vastu ikka oli testmisl port 80 maas
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Kas sa kommenteerisid selle rea ikka välja :
#$cmd 210 allow icmp from any to me icmptypes 3,4,8,11 #keela 8 või kõik ära
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
itvendpowered kirjutas: | tra ikka ei pidanud sea rünakut vastu ikka oli testmisl port 80 maas |
Proovi PF tulemüüri, mis ma ennist siia postitasin, seal on juba sisse ehitatud kaitse DDoS vastu. Rohkem informatsiooni saab siit: http://www.openbsd.org/faq/pf/
|
|
|
|
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
KAS kuskil ei naita ara, mis IP aadress arvutisse tuli? Kas nat tulemyyris ei saa ddos rynnakute ip-si ara keelata?
Mina kyll oma arvutit palja ip taha ei pane- ikka nat tulemyyr om.. sealt saan keelata ip aadressid ara..
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
uniz kirjutas: | KAS kuskil ei naita ara, mis IP aadress arvutisse tuli? Kas nat tulemyyris ei saa ddos rynnakute ip-si ara keelata?
Mina kyll oma arvutit palja ip taha ei pane- ikka nat tulemyyr om.. sealt saan keelata ip aadressid ara.. |
DDoS paneks sinu NAT-i purgi pange enne, kui jõuad mingid ip-d ära keelata.
|
|
|
|
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
antik2 kirjutas: | uniz kirjutas: | KAS kuskil ei naita ara, mis IP aadress arvutisse tuli? Kas nat tulemyyris ei saa ddos rynnakute ip-si ara keelata?
Mina kyll oma arvutit palja ip taha ei pane- ikka nat tulemyyr om.. sealt saan keelata ip aadressid ara.. |
DDoS paneks sinu NAT-i purgi pange enne, kui jõuad mingid ip-d ära keelata. |
Mis see DDoS ründab ainult veebi porte või? 80 ? Mul ei ole veebi..
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Dos rünnak lihtsalt kulutab serveri resursse nii, et server hakkab vastama echo requestidele ja ei jõua teenindada teisi kliente.
Sellest ka nimi "denial of service".
Ma tegin need reeglid ja lubasin icmp, eeldades Itivend ise keelab kui tahab.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
|