Forum Ubuntu-it

Il forum della comunità italiana di Ubuntu.
https://forum.ubuntu-it.org/

[Server] Attacchi DoS, Spoof, SYN

https://forum.ubuntu-it.org/viewtopic.php?f=34&t=250595

Pagina 1 di 3

[Server] Attacchi DoS, Spoof, SYN

Inviato: sabato 10 gennaio 2009, 11:39
da nino72
ciao a tutti e complimenti per il forum.

Ho un grosso ma grosso problema.
ho un server con Ubuntu Desktop che viene sempre attaccato da gente che non ha nulla da fare, ho trovato delle guide con i comadi pronti da inviare tramite shell ma con risultato negativo.

Ho divuto formattare tantissime volte perchè bloccavo l'accesso esterno. in tutte le guide che leggo trovo di resettare il firewall iptables -F ma poi come mi collego?? non ho idea come risolvere il problema.
Grazie anticipatamente per il vostro aiuto
------------------------------------------
Si inizia cancellando le regola preesistenti:
iptables -F

Si definisce il comportamento di default; conviene bloccare tutto e consentire solo quello che conosciamo bene:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Si permette alla rete locale di dialogare con il firewall e di accedere all’esterno:
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT

Si impedisce l’accesso a pacchetti esterni con indirizzi privati:
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
iptables -A FORWARD -s 172.16.0.0/12 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

Si impedisce l’accesso ai pacchetti esterni con indirizzi di loopback:
iptables -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
iptables -A FORWARD -s 127.0.0.0/8 -i ! lo -j DROP

Si impedisce l’accesso a pacchetti esterni con indirizzi delle classi D ed E:
iptables -A INPUT -s 224.0.0.0/3 -i eth1 -j DROP
iptables -A FORWARD -s 224.0.0.0/3 -i eth1 -j DROP

Protezione contro un’inondazione di richieste echo ICMP (ping):
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
consente il transito di un pacchetto ICMP echo-request al secondo e blocca tutti i pacchetti successivi

Protezione contro un attacco da inondazione di pacchetti SYN:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -j DROP
consente il transito di un solo pacchetto TCP al secondo e blocca tutti i successivi.

Protezione contro un tentativo di scansione delle porte TCP:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
consente il transito di un pacchetto TCP al secondo con il solo flag RST attivo, nell’ambito del gruppo di bit SYN, ACK, FIN e RST e blocca tutti i pacchetti successivi.
---------------------------------------

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: sabato 10 gennaio 2009, 20:14
da nino72
Ciao a tutti,

Possibile che nessuno riesce ad aiutarmi??
Sto provando di tutto facendo anche dei test attaccando io il server ma l'attacco non viene bloccato.
Come posso fare???

grazie

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: sabato 10 gennaio 2009, 23:51
da fortran77
Non ho mica capito cosa vuoi fare. Prima parli di attacchi (su che porte?) e poi dici che hai formattato per eliminare le regole di iptables?? Ma basta riavviare se sei nelle peste...
Secondo me hai le idee poco chiare. Che ne dici di documentarti, leggere il man di iptables e due guide a giro nella rete prima di metterti a dare comandi a caso raccattati su internet?
Comunque per ripulire le regole servono i seguenti comandi:

Codice: Seleziona tutto

$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Set Defaults to ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
Sostituisci $IPTABLES con il tuo eseguibile di iptables

Uno script di iptables dovrebbe essere fatto in questo modo:

Codice: Seleziona tutto

#!/bin/sh
IFACE=eth0 #Interfaccia esterna ethernet
SSH_PORT=22
IPTABLES=/sbin/iptables

#IP to ban from net access (list separated with spaces)
BAN_IP="192.168.0.6-192.168.0.255 206.53.62.206"
#IP to log if connection is detected
LOG_IP="192.168.0.6-192.168.0.255"
##########################################################################
#Pulisco tutte le regole e ripristino quelle di default (ACCEPT)
##########################################################################
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Set Defaults to ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

##########################################################################
#Definisco la policy di default
##########################################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

##########################################################################
#Definisco le catene per i vari tipi di paccehtti
##########################################################################
#Catena per le connessioni gia' avviate (da mettere in fondo alle regole)
 $IPTABLES -N connessioni_avviate
 $IPTABLES -F connessioni_avviate
 $IPTABLES -A connessioni_avviate -m state --state ESTABLISHED,RELATED -j ACCEPT
 $IPTABLES -A connessioni_avviate -i $IFACE -m limit -j LOG --log-prefix "FW:Bad packet from ${IFACE}:"
 $IPTABLES -A connessioni_avviate -j DROP

#Catena per bloccare uno specifico ip
 $IPTABLES -N ban_ip
 $IPTABLES -F ban_ip
 for i in $BAN_IP; do
     $IPTABLES -A ban_ip -m iprange --src-range $i -j DROP
 done

#Catena per loggare uno specifico ip
 $IPTABLES -N log_ip
 $IPTABLES -F log_ip
 for i in $LOG_IP; do
     $IPTABLES -A log_ip -m iprange --src-range  $i -m limit -j LOG --log-prefix "FW:LOG_IP: "
 done

#Catena per il traffico ICMP in entrata
#ICMP (in entrata) Solo se fanno parte di connessioni preesistenti, cioe' si tratta di una risposta ad un 
#pacchetto inviato dalla nostra rete
 $IPTABLES -N icmp_in
 $IPTABLES -F icmp_in
 $IPTABLES -A icmp_in -p icmp --icmp-type time-exceeded -j ACCEPT
 $IPTABLES -A icmp_in -p icmp --icmp-type destination-unreachable -j ACCEPT
#protezione dai PING-FLOOD
 $IPTABLES -A icmp_in -p icmp --icmp-type ping -m limit --limit 1/s -j ACCEPT
 $IPTABLES -A icmp_in -p icmp -j LOG --log-prefix "FW:Bad ICMP traffic:"

#Protezione dai SYN-FLOOD
 $IPTABLES -N syn_flood
 $IPTABLES -F syn_flood
 $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
 $IPTABLES -A syn_flood -p tcp --syn -j DROP

#Catena per SSH in entrata
#SSH (in entrata) In entrata abilitato il traffico per la porta $SSH_PORT
#Limtati i pacchetti RST FIN e SYN a 1/second
 $IPTABLES -N ssh_in
 $IPTABLES -F ssh_in
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT

##########################################################################
#Definisco la catene per intercettare i portscan
##########################################################################
#Catena per loggare i portscan
 $IPTABLES -N portscan
 $IPTABLES -F portscan
 
 #NMAP-XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "FW:SCAN:NMAP-XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
 
 #XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP

 #XMAS-PSH
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS-PSH:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

 #NULL_SCAN 
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:NULL_SCAN:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP

 #SYN/RST
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/RST:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

 #SYN/FIN
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/FIN:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

##########################################################################
#Variabili SYS-CTL 
##########################################################################
#Abilita o disabilita l'IP FORWARDING
#echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

#DYNAMIC ADDRESSING (utile per il forwarding)
#/bin/echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#Disabilita l'IP Spoofing
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Non rispondere ai PING
#/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Non rispondere agli ICMP BROADCAST (attacchi smurf)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Disabilita l'accettazione dei REDIRECT
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

#Protezione verso i messaggi di errore ICMP malformati
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#Disabilita i pacchetti source routed (previene dal guardare attraverso il NAT)
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

#Abilita LOG_MARTIANS (effettua il log dei pacchetti strani)
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

#Abilita il  REVERSE PATH FILTERING
for i in /proc/sys/net/ipv4/conf/*; do
  /bin/echo "1" > $i/rp_filter
done

##########################################################################
#Applico le catene a INPUT, OUTPUT e FORWARD
#Scarto i pacchetti INVALID
##########################################################################
#Applico le catene a INPUT
  $IPTABLES -A INPUT -j portscan
  $IPTABLES -A INPUT -m state --state INVALID -j DROP
  $IPTABLES -A INPUT -j log_ip
  $IPTABLES -A INPUT -j ban_ip
  $IPTABLES -A INPUT -j icmp_in
  $IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  $IPTABLES -A INPUT -j ssh_in
  $IPTABLES -A INPUT -j connessioni_avviate

#Applico le catene a OUTPUT
#  $IPTABLES -A OUTPUT -m state --state INVALID -j DROP 
  $IPTABLES -A OUTPUT -d 127.0.0.1 -j ACCEPT
  output

#Applico le catene a FORWARD
  $IPTABLES -A FORWARD -m state --state INVALID -j DROP
  $IPTABLES -A FORWARD -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  forward
  $IPTABLES -A FORWARD -j connessioni_avviate
E' solo un esempio ovviamente
Imposti le regole di default, definisci le catene, infine applichi le catene a INPUT, OUTPUT e FORWARD. Una cosa secondo logica insomma, modulare e ben comprensibile anche quando dopo mesi vai a cercare di modificare le regole che hai impostato.
Comunque se amministri un server dovresti davvero documentarti seriamente su come funziona iptables. E' come avere una macchina senza la patente per guidarla... una tragedia annunciata.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 2:15
da nino72
Ciao e grazie per aver risposto al mio problema.

Non ho esperienza con linux ed ho letto qualche guida in giro ma non è semplice.
Prima avevo un server windows che buttavano sempre giù attaccando la porta che necessariamente doveva rimanere aperta.
Dopo aver letto qualche guida ho deciso di buttarmi su linux e studiarci un po ma vedo che veramente complicato per me.
io avrei bisogno i comandi corretti per bloccare questi attacchi credo fatti con xxpoof o altro perchè quando iniziano mi buttano tutto giù.
In giro ho trovato questi script come quello postato da te ma cosa dovrei fare? anche se copio il tuo e lo personalizzo dove lo metto??

Grz.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 2:45
da nino72
Eccomi ancora qui..

in rete ho trovato questo, è corretto??

*********************************
Eseguire automaticamente script all avvio

Per poter creare uno script che venga automaticamente lanciato ad ogni avvio

di Ubuntu, dobbiamo creare un file .sh nella cartella /etc/init.d/.

Quindi:


sudo gedit /etc/init.d/nomescript.sh

Scriviamo all’interno del file lo scirpt che vogliamo sia lanciato, diamo i permessi di esecuzione:

sudo chmod +x /etc/init.d/nomescript.sh

ed infine lo lanciamo:


sudo update-rc.d nomescript.sh defaults

Ora lo script verrà eseguito ad ogni avvio della macchina.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 11:41
da fortran77
No, basta inserire lo script che vuoi avviare in /etc/rc.local.

Comunque non posso darti mano oltre. Dovrei avere informazioni maggiori sul tuo server, sulla tua rete e sui tuoi servizi. E poi magari essere pagato  ;D

Dallo script che ti ho postato sono sicuro che riuscirai in breve tempo a capire come impostare il firewall.
Io, partendo da zero, ci misi due mesi per imparare ad usare decentemente linux. Una settimana per imparare iptables.
Se usi linux in ambito professionale (server) c'è poco da fare, devi studiare un po'. Comunque ti assicuro che lo sforzo è premiato! Ad oggi non riesco ad immaginarmi come potevo riuscire a barcamenarmi con windows...

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 16:07
da fortran77
Ah, oltre alle porte utilizzate dai servizi che girano sul tuo server, serve anche sapere se passa solo traffico tcp o anche udp.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 17:20
da nino72
ciao,

Le porte che devo utilizare sono: http/s + ssh + tcp: da 5970 a 5979 + udp: da 7000 alla 9000.
ho controllato nella cartella /etc/ ho trovato il file rc.local ma ci sono degli scritp , devo aggiungere li lo script per iptables?

grazie.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 18:27
da fortran77
Potresti provare con questo script:

Codice: Seleziona tutto

#!/bin/sh
IFACE=eth0 #Interfaccia esterna ethernet
SSH_PORT=22
MPORTS=5970:5979
UPORTS=7000:9000
IPTABLES=/sbin/iptables

#IP to ban from net access (list separated with spaces)
BAN_IP="10.0.0.1"
#IP to log if connection is detected
LOG_IP="10.0.0.1"
##########################################################################
#Pulisco tutte le regole e ripristino quelle di default (ACCEPT)
##########################################################################
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Set Defaults to ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

##########################################################################
#Definisco la policy di default
##########################################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

##########################################################################
#Definisco le catene per i vari tipi di paccehtti
##########################################################################
#Catena per le connessioni gia' avviate (da mettere in fondo alle regole)
 $IPTABLES -N connessioni_avviate
 $IPTABLES -F connessioni_avviate
 $IPTABLES -A connessioni_avviate -m state --state ESTABLISHED,RELATED -j ACCEPT
 $IPTABLES -A connessioni_avviate -i $IFACE -m limit -j LOG --log-prefix "FW:Bad packet from ${IFACE}:"
 $IPTABLES -A connessioni_avviate -j DROP

#Catena per bloccare uno specifico ip
echo ban_ip
 $IPTABLES -N ban_ip
 $IPTABLES -F ban_ip
 for i in $BAN_IP; do
     echo "$IPTABLES -A ban_ip -m iprange --src-range $i -j DROP"
 done

#Catena per il traffico ICMP in entrata
#ICMP (in entrata) Solo se fanno parte di connessioni preesistenti, cioe' si tratta di una risposta ad un 
#pacchetto inviato dalla nostra rete
 $IPTABLES -N icmp_in
 $IPTABLES -F icmp_in
 $IPTABLES -A icmp_in -p icmp --icmp-type time-exceeded -j ACCEPT
 $IPTABLES -A icmp_in -p icmp --icmp-type destination-unreachable -j ACCEPT
#protezione dai PING-FLOOD
 $IPTABLES -A icmp_in -p icmp --icmp-type ping -m limit --limit 1/s -j ACCEPT
 $IPTABLES -A icmp_in -p icmp -j LOG --log-prefix "FW:Bad ICMP traffic:"

#Protezione dai SYN-FLOOD
 $IPTABLES -N syn_flood
 $IPTABLES -F syn_flood
 $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
 $IPTABLES -A syn_flood -p tcp --syn -j DROP

#Catena per SSH in entrata
#SSH (in entrata) In entrata abilitato il traffico per la porta $SSH_PORT
#Limtati i pacchetti RST FIN e SYN a 1/second
 $IPTABLES -N ssh_in
 $IPTABLES -F ssh_in
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico HTTP in entrata
 $IPTABLES -N http_in
 $IPTABLES -F http_in
 $IPTABLES -A http_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport 80 -j ACCEPT
 $IPTABLES -A http_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport 80 -j ACCEPT
 $IPTABLES -A http_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport 80 -j ACCEPT
 $IPTABLES -A http_in -o $IFACE -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico HTTPS in entrata
 $IPTABLES -N https_in
 $IPTABLES -F https_in
 $IPTABLES -A https_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport 443 -j ACCEPT
 $IPTABLES -A https_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport 443 -j ACCEPT
 $IPTABLES -A https_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport 443 -j ACCEPT
 $IPTABLES -A https_in -o $IFACE -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico TCP da 5970 a 5979
 $IPTABLES -N multiport_in
 $IPTABLES -F multiport_in
 $IPTABLES -A multiport_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST -m multiport --dports $MPORTS -j ACCEPT
 $IPTABLES -A multiport_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN -m multiport --dports $MPORTS -j ACCEPT
 $IPTABLES -A multiport_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN -m multiport --dports $MPORTS -j ACCEPT
 $IPTABLES -A multiport_in -o $IFACE -p tcp -m multiport --dports $MPORTS -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico UDP da 7000 a 9000
 $IPTABLES -N mudp_in
 $IPTABLES -F mudp_in
 $IPTABLES -A mudp_in -i $IFACE -m limit --limit 1/second -p udp -m multiport --dports $UPORTS -m state --state NEW,ESTABLISHED -j ACCEPT

##########################################################################
#Definisco la catene per intercettare i portscan
##########################################################################
#Catena per loggare i portscan
 $IPTABLES -N portscan
 $IPTABLES -F portscan
 
 #NMAP-XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "FW:SCAN:NMAP-XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
 
 #XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP

 #XMAS-PSH
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS-PSH:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

 #NULL_SCAN 
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:NULL_SCAN:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP

 #SYN/RST
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/RST:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

 #SYN/FIN
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/FIN:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

##########################################################################
#Variabili SYS-CTL 
##########################################################################
#Abilita o disabilita l'IP FORWARDING
#echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

#DYNAMIC ADDRESSING (utile per il forwarding)
#/bin/echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#Disabilita l'IP Spoofing
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Non rispondere ai PING
#/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Non rispondere agli ICMP BROADCAST (attacchi smurf)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Disabilita l'accettazione dei REDIRECT
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

#Protezione verso i messaggi di errore ICMP malformati
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#Disabilita i pacchetti source routed (previene dal guardare attraverso il NAT)
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

#Abilita LOG_MARTIANS (effettua il log dei pacchetti strani)
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

#Abilita il  REVERSE PATH FILTERING
for i in /proc/sys/net/ipv4/conf/*; do
  /bin/echo "1" > $i/rp_filter
done

##########################################################################
#Applico le catene a INPUT, OUTPUT e FORWARD
#Scarto i pacchetti INVALID
##########################################################################
#Applico le catene a INPUT
  $IPTABLES -A INPUT -j portscan
  $IPTABLES -A INPUT -m state --state INVALID -j DROP
#  $IPTABLES -A INPUT -j ban_ip
  $IPTABLES -A INPUT -j icmp_in
  $IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  $IPTABLES -A INPUT -j ssh_in
  $IPTABLES -A INPUT -j https_in
  $IPTABLES -A INPUT -j multiport_in
  $IPTABLES -A INPUT -j mudp_in
  $IPTABLES -A INPUT -j connessioni_avviate

#Applico le catene a OUTPUT
#  $IPTABLES -A OUTPUT -m state --state INVALID -j DROP 
  $IPTABLES -A OUTPUT -d 127.0.0.1 -j ACCEPT

#Applico le catene a FORWARD
  $IPTABLES -A FORWARD -m state --state INVALID -j DROP
  $IPTABLES -A FORWARD -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  $IPTABLES -A FORWARD -j connessioni_avviate
Alcune raccomandazioni e istruzioni:
1)Devi essere sicuro di avere abilitato i moduli di iptables per "state", "limit", "multiport".
2)Potrebbe contenere (e conterrà) errori, specialmente là dove uso il modulo multiport che non ho mai usato e di cui non sono sicuro sulla sintassi. Eventualmente correggi dove va corretto. Considera questo script solo come un'abbozzo avanzato da finire di mettere a punto. Dove sono ora non lo posso testare.
3)Leggilo accuratamente. Come vedi è diviso in sezioni:
Nella prima parte definisco le variabili che mi interessano, tra cui le porte tcp, udp e ssh che poi apro dopo.
Nella seconda parte pulisco qualsiasi tipo di regola preesistente, poi imposto delle regole di default per INPUT, OUTPUT e FORWARD.
Successivamente passo a definire le catene. Prima creo la catena (iptables -N nomecatena), poi la pulisco per precausione (iptables -F nomecatena), infine la riempio delle regole.
Ciascuna catena è indipendente dalle altre e serve solo per definire le regole che richiamerò dopo.
Ho creato una catena per ogni servizio che ti potrebbe essere utile, vedi un po' te. Eventualmente è semplice estenderle con un po' di copia&incolla e due modifiche banali.
Non ho mai sostenuto un attacco DOS, quindi vado un po' a naso. Ho tentato di limitare le connessioni, basandomi sulle flag RST, FIN e SYN, a 1 al secondo. Ho anche limitato i pacchetti UDP da 7000 a 9000 a 1 al secondo. Questo potrebbe essere poco o troppo, vedi te. Potrebbe anche rallentare enormemente la fruizione dei servizi sul server. Modifica questo valore come credi, sperimenta insomma.
Verso la fine c'è una catena che logga e blocca i portscan. Se sei sotto un attacco peso e questo ti occupa troppo processore toglila dalla parte seguente.
Nell'ultima sezione applico le catene, ovvero le rendo effettive (posso definirne quante me ne pare, se non le applico non fanno nulla.
Come vedi applico le catene a INPUT. OUTPUT e FORWARD non hanno un trattamento particolare, a parte alcune regole banali, perché non penso sia questo il tuo caso.

Tra le variabili iniziali ce ne è una BAN_IP=... Qua puoi inserire una lista di ip da bannare, sia come range (ipiniziale-ipfinale), sia come ip singoli. Basta che siano separati da spazi. Ti ho messo qualche indirizzo di esempio, ma toglili o non applicare in fondo la catena se non ti serve.
C'è anche una variabile LOG_IP=... che fa come prima ma logga i tentativi di connessione agli ip della lista. Anche qui, se non ti serve, fregatene ed elimina la catena dall'applicazione.

RICORDA! L'ordine in cui applichi le catene (e quindi le regole che contengono) è importante! Il match delle regole viene fatto dalla prima all'ultima. Per questo alla fine metto la regola per le connessioni preesistenti e all'inizio quella per i portscan.

Se chiami lo script "muro_di_fuoco", lo metti (ad esempio) in /usr/local/sbin e lo rendi eseguibile (chmod 700 /usr/local/sbin/muro_di_fuoco), allora il tuo rc.local dovrebbe essere.

Codice: Seleziona tutto

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

/usr/local/sbin/muro_di_fuoco

exit 0
Ricorda di testarlo, prima di metterlo nell'avvio automatico

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 18:56
da nino72
ciao,

Nel file rc.loc ho questo script , lo devo modificare con quello che mi hai postato??
scusate per la mia ignoranza e spero di riuscrici a risolvere il problema.
il file muro l'ho creato e messo dentro /usr/local/sbin/muro.sh

Codice: Seleziona tutto

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# Generating issue
if [ -e /etc/lsb-release ]
then
        echo "`grep DISTRIB_DESCRIPTION /etc/lsb-release | sed 's/^DISTRIB_DESCRIPTION="\(.*\)"$/\1/'` (desktop)" > /etc/motd
fi
uname -a >> /etc/motd
echo >> /etc/motd
echo "server    : `cat /root/.mdg 2>/dev/null`" >> /etc/motd
echo "ip        : `cat /etc/network/interfaces | grep "address" | head -n 1 | cut -f 2 -d " "`"  >> /etc/motd
echo "hostname  : `hostname`" >> /etc/motd
echo >> /etc/motd
/bin/cp /etc/motd /etc/issue

exit 0

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 19:21
da fortran77
No. Basta che aggiungi la riga /usr/loca/sbin/muro_di_fuoco prima della riga "exit 0".

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 19:34
da nino72
fortran77 ha scritto: No. Basta che aggiungi la riga /usr/loca/sbin/muro_di_fuoco prima della riga "exit 0".
Ok ho fatto come mi hai detto ma quando controllo il firewall non mi risulta.
il file l'ho chiamato muro.sh
--------------------------------------------

Codice: Seleziona tutto

admin@ns204652:~$ sudo iptables -L
[sudo] password for admin: 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
admin@ns204652:~$ sudo iptables -vv -L
Chain INPUT (policy ACCEPT 3242 packets, 428K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3943 packets, 579K bytes)
 pkts bytes target     prot opt in     out     source               destination         
admin@ns204652:~$

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 19:40
da alfabetico
ma scusate mi fate capire perchè non fate fare al Router tutto questo ???

:-X

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 19:43
da nino72
alfabetico ha scritto: ma scusate mi fate capire perchè non fate fare al Router tutto questo ???

:-X
ciao,
putroppo non ho la possibiltà di gestire un router inoltre è un server dedicato con S.O. Ubuntu Desktop e posso difendermi solo cosi.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 20:04
da fortran77
Ma quando lo lanci da terminale cosa ti dice? Esce con un errore?
Ti avevo detto che lo dovevi testare prima di metterlo nell'avvio automatico al boot.

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 20:07
da nino72
Ciao,

ho fatto tutto come mi hai detto e non mi da nessun errore.
ho inviato un attacco tramite xxpoof con esisto negativo. :(

Codice: Seleziona tutto

admin@ns204652:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
portscan   all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            state INVALID 
log_ip     all  --  anywhere             anywhere            
ban_ip     all  --  anywhere             anywhere            
icmp_in    all  --  anywhere             anywhere            
ACCEPT     all  --  localhost.localdomain  localhost.localdomain 
ssh_in     all  --  anywhere             anywhere            
https_in   all  --  anywhere             anywhere            
multiport_in  all  --  anywhere             anywhere            
mudp_in    all  --  anywhere             anywhere            
connessioni_avviate  all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     all  --  localhost.localdomain  localhost.localdomain 
connessioni_avviate  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             localhost.localdomain 

Chain ban_ip (1 references)
target     prot opt source               destination         

Chain connessioni_avviate (2 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere            limit: avg 3/hour burst 5 LOG level warning prefix `FW:Bad packet from eth0:' 
DROP       all  --  anywhere             anywhere            

Chain http_in (0 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:www flags:FIN,SYN,RST,PSH,ACK,URG/RST 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:www flags:FIN,SYN,RST,PSH,ACK,URG/FIN 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:www flags:FIN,SYN,RST,PSH,ACK,URG/SYN 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www state NEW,ESTABLISHED 

Chain https_in (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:https flags:FIN,SYN,RST,PSH,ACK,URG/RST 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:https flags:FIN,SYN,RST,PSH,ACK,URG/FIN 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:https flags:FIN,SYN,RST,PSH,ACK,URG/SYN 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW,ESTABLISHED 

Chain icmp_in (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 
LOG        icmp --  anywhere             anywhere            LOG level warning prefix `FW:Bad ICMP traffic:' 

Chain log_ip (1 references)
target     prot opt source               destination         

Chain mudp_in (1 references)
target     prot opt source               destination         

Chain multiport_in (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp flags:FIN,SYN,RST,PSH,ACK,URG/RST multiport dports 5970:5979 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN multiport dports 5970:5979 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp flags:FIN,SYN,RST,PSH,ACK,URG/SYN multiport dports 5970:5979 
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 5970:5979 state NEW,ESTABLISHED 

Chain portscan (1 references)
target     prot opt source               destination         
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG limit: avg 5/min burst 5 LOG level alert prefix `FW:SCAN:NMAP-XMAS:' 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG limit: avg 5/min burst 5 LOG level alert prefix `FW:SCAN:XMAS:' 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG limit: avg 5/min burst 5 LOG level alert prefix `FW:SCAN:XMAS-PSH:' 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE limit: avg 5/min burst 5 LOG level alert prefix `FW:SCAN:NULL_SCAN:' 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST limit: avg 5/min burst 5 LOG level notice prefix `FW:SCAN:SYN/RST:' 
DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN limit: avg 5/min burst 5 LOG level notice prefix `FW:SCAN:SYN/FIN:' 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 

Chain ssh_in (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:ssh flags:FIN,SYN,RST,PSH,ACK,URG/RST 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:ssh flags:FIN,SYN,RST,PSH,ACK,URG/FIN 
ACCEPT     tcp  --  anywhere             anywhere            limit: avg 1/sec burst 5 tcp dpt:ssh flags:FIN,SYN,RST,PSH,ACK,URG/SYN 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW,ESTABLISHED 

Chain syn_flood (0 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 4 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN 
admin@ns204652:~$

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 20:11
da nino72
Scusa fortran77,

Se puoi ti posso dare l'accesso al server e dai un occhiata tu e poi io invio un attaccho, che dici??

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 20:21
da fortran77
Non lo hai lanciato da terminale, perché se lo avessi fatto almeno due errori te li avrebbe dati.
Ho corretto quelli che ho visto ora come ora. Riprova a lanciarlo.

Con "lanciarlo da terminale" intendo aprire un terminale, diventare root e lanciare /usr/local/sbin/muro.sh (sempre che tu lo abbia messo lì).

Ma il server è una cosa professionale che amministri per lavoro o lo fai per interesse privato?

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 20:33
da nino72
Il server è utilizzato per uso privato, prima eravamo 15 amici che utilizzavamo il server per giocare, poi si siamo divisi e da allora mi attaccano continuamente.
------------------------
ho inviato il comando come hai detto tu.

Codice: Seleziona tutto

root@ns204652:~# /usr/local/sbin/muro.sh 
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables v1.3.8: Unknown arg `--state'
Try `iptables -h' or 'iptables --help' for more information.
/usr/local/sbin/muro.sh: line 201: output: command not found
/usr/local/sbin/muro.sh: line 206: forward: command not found
root@ns204652:~#

Re: [Server] Attacchi DoS, Spoof, SYN

Inviato: domenica 11 gennaio 2009, 21:14
da fortran77
Vedi che non lo avevi testato? Come facevi a sostenere che non ti dava nessun errore?
Ho modificato lo script di prima. Copiatelo e provalo. E dimmi l'output da terminale.
Tutti gli orari sono UTC+02:00 Europa/Roma
Pagina 1 di 3

Basato su phpBB® Forum Software © phpBB Limited • PostgreSQL© • Megmoticons©