- 論壇徽章:
- 0
|
寫在前面:
為什么我自己不試驗一下?
因為我自己對Iptables了解非常少�,僅對狀態(tài)檢測機(jī)制有所了解。
希望驗證的內(nèi)容:
一�、關(guān)于IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP 規(guī)則
此規(guī)則是對于這樣的包進(jìn)行過濾:外部網(wǎng)絡(luò)主機(jī)已經(jīng)與防火墻內(nèi)部或者其自身建立了鏈接����,而此規(guī)則后來生效的那些此連接的數(shù)據(jù)包
具體實施環(huán)境:
防火墻之外的主機(jī)A:10.1.1.2/24
放火墻F:10.1.1.1/24 與 10.1.2.1/24
受防火墻保護(hù)的網(wǎng)段:10.1.2.0/24
受防火墻保護(hù)的網(wǎng)段內(nèi)的一臺主機(jī)X:10.1.2.10/24(開啟telnet服務(wù))
具體實施分兩個種情況進(jìn)行模擬:
情況I(公網(wǎng)訪問內(nèi)網(wǎng)):
1���、主機(jī)A telnet 到 主機(jī)X,并保持連接狀態(tài).
2���、開啟防火墻F上的iptables服務(wù),并使規(guī)則:
IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
生效��。
3�����、使用剛才的telnet客戶端執(zhí)行隨便一個命令�,如:ls
上面的ls命令應(yīng)該是執(zhí)行不成功的。
如果防火墻之外的主機(jī)A先連到了我們的內(nèi)部網(wǎng)絡(luò)主機(jī)X,防火墻F的規(guī)則發(fā)生了改變��,禁止A發(fā)送SYN段鏈接進(jìn)入X���,規(guī)則不生效.所以我們不的不應(yīng)用此規(guī)則�,讓其重新鏈接�����。
基與這一點,我想iptables雖然是工作在網(wǎng)絡(luò)層的防火墻����,但是它會查看TCP包頭的,所以嚴(yán)格的說,iptables是一個傳輸層與網(wǎng)絡(luò)層的放火墻��。但就象手機(jī)可以錄音一樣���,我們還是稱之為手機(jī)����,所以����,iptables還是網(wǎng)絡(luò)層的防火墻�。
情況II(內(nèi)網(wǎng)為私用網(wǎng)地址,防火墻使用了SNAT):
1��、內(nèi)網(wǎng)的一臺機(jī)器X,telnet到防火墻F
2�����、啟動防火墻F的ppp時起用此規(guī)則
剛才的telnet會中斷。如果把conntrack和nat直接編譯進(jìn)內(nèi)核心���,就不會出現(xiàn)上面的情況����。
二����、關(guān)于iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 規(guī)則
此規(guī)則是對這樣的包進(jìn)行過濾,并發(fā)出錯誤報告:tcp包頭中的syn=1并且ack=1的段進(jìn)行過濾����,并向此鏈接的發(fā)起端發(fā)出tcp-reset(也就是RST=1)的數(shù)據(jù)包,通知關(guān)閉其鏈接����。
具體實施:
攻擊這A:10.1.1.2
放火墻F:10.1.1.1/24 與 10.1.2.1/24
受防火墻保護(hù)的網(wǎng)段:10.1.2.0/24
受防火墻保護(hù)的網(wǎng)段內(nèi)的一臺主機(jī)O(無辜者):10.1.2.10/24
受害者V:11.22.33.44
1、[A]以[O]的IP為源地址向[V]發(fā)SYN�。
2、[V]向[O]回應(yīng)SYN/ACK���。(這也是為什么要三次握手才可以確定鏈接與否的原因���,而不是兩次��。)
3�、現(xiàn)在��,若[O]以RST回應(yīng)這個未知的SYN/ACK��,攻擊就失敗了���,但如果[O]已經(jīng)沒有這個能力了呢�?比如它早已被另外的攻擊(如SYN flood)降服�����,或者被關(guān)閉�,或者它的RST包被防火墻拒絕。
4���、如果[O]沒能破壞這條連接�����,而且[A]猜對了序列號,那它就能以[O]的身份發(fā)出第三次握手并與V通信了����。
這條規(guī)則的存在還產(chǎn)生了另外一問題����,就是有幾個portscan(端口掃描器)會看到我們的防火墻����。因為RST=1的鏈接復(fù)位包是由防火墻發(fā)起的。
注意:這條規(guī)則并不能防止你成為受害者��。
三���、關(guān)于兩個規(guī)則的功能的相互替換��。
1�����、可以用此規(guī)則:IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP 防止syn欺騙么���?
不可以。因為在第2次握手(ack=1,syn=1)�����,如果iptables檢測到這個包是第一次到來,那么狀態(tài)是NEW�����。這樣就與規(guī)則ack=1(! --syn用來匹配那些 RST或ACK被置位的包)匹配�����。規(guī)則生效���。但是這樣做只是把包drop掉了���,并沒有發(fā)出RST以通知連結(jié)的發(fā)起者。
2����、可以用此規(guī)則:iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset來防止外網(wǎng)先鏈接到本地機(jī)器,而規(guī)則后生效���,并且阻止此鏈接的后續(xù)包進(jìn)入么����?
不可以���。因為在此規(guī)則生效后����,鏈接的后續(xù)包的狀態(tài)標(biāo)志位并不是syn=1�。
多謝論壇里的兄弟和我探討,讓我有了更進(jìn)一步的了解�����。如果有任何錯誤��,請回帖����。 |
|
免費注冊
發(fā)表于 2005-09-19 15:02
發(fā)表于 2005-09-19 15:33