[Server] Attacchi DoS, Spoof, SYN

[nino72]

Si avevi ragione adesso ho capito come testare il file.  :-\

----------------------------------------------------

Codice: Seleziona tutto

root@ns204652:~# /usr/local/sbin/muro.sh 
connessioni_avviate
ban_ip
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
log_ip
iptables: No chain/target/match by that name
icmp_in
syn_flood
ssh_in
http_in
https_in
multiport_in
mudp_in
portscan
root@ns204652:~# 

[fortran77]

Quindi ha problemi con la catena ban_ip e log_ip.
Per curiosità hai modificato le variabili all'inizio dello script? Cosa hai messo in BAN_IP e LOG_IP ?
Se lasci vuote le variabili penso dia un errore ad impostarle. Al massimo non applicare le catene (togli le righe che le applicano dalla fine dello script).
Se poi non ti servono puoi anche cancellarle.

[nino72]

Non ho toccato nulla nello script da te fornito, ho dato un occhiata per capire come funziona e basta.
Se è utile il ban ip meglio attivarlo 
Ho provato ad attaccare il server e l'attacco non viene bloccato, addirittura la cosa strana sai cosè che anche attaccando una porta chiusa non blocca nulla, cioè: ho inviato un attacco alla porta tcp 2000 ed altre che sono chiuse ma con esito negativo.
Non capisco come mai la porta chiusa riceve l'attacco, quando avevo windows server con il firewall agnitum e attaccavo una porta chiusa per fare sempre il test l'attacco veniva bloccato.  >:(
scusami di cuore se ti faccio diventare ::)

[nelchael81]

Mi iscrivo, così imparo qualcosa 

[fortran77]

Ma se la catena ban_ip ti da errore è meglio eliminarla no? Oppure capire perché ti da errore.
Ho modificato ancora lo script. Prova ancora a lanciarlo da terminale e dimmi cosa dice.

[nino72]

Ok Fatto.

Ecco la risposta:

Codice: Seleziona tutto

root@ns204652:~# /usr/local/sbin/muro.sh 
ban_ip
/sbin/iptables -A ban_ip -m iprange --src-range 10.0.0.1 -j DROP
root@ns204652:~# 

[fortran77]

ma ora funziona?

[nino72]

aspè adesso provo ad attaccarmi 

ps. un amico mi ha dato questi che vengono utilizzati nei cisco asa:

Queste sono le prefix list best practice per le cosiddette "martian network", trasformale in ACL in questo caso e mettile come IN sulla WAN, ricordati alla fine un bel permit ip any any*:

ip prefix-list rfc1918 deny 0.0.0.0/8 le 32
ip prefix-list rfc1918 deny 10.0.0.0/8 le 32
ip prefix-list rfc1918 deny 127.0.0.0/8 le 32
ip prefix-list rfc1918 deny 169.254.0.0/16 le 32
ip prefix-list rfc1918 deny 172.16.0.0/12 le 32
ip prefix-list rfc1918 deny 192.0.2.0.0/24 le 32
ip prefix-list rfc1918 deny 192.168.0.0/16 le 32
ip prefix-list rfc1918 deny 224.0.0.0/3 le 32
ip prefix-list rfc1918 permit 0.0.0.0/0 le 32*

[nino72]

Nulla da fare  :'( l'attacco non viene bloccato.

[fortran77]

Scusa ma come fai l'attacco e da dove? Hai un pc ubuntu sulla rete? Puoi provare a dare il comando

Codice: Seleziona tutto

nmap -sS -p 1-65535 indirizzo.del.tuo.pc

Mi posti il risultato di   

Codice: Seleziona tutto

iptables -L -n --line-numbers

Puoi commentare nello script le righe

Codice: Seleziona tutto

  $IPTABLES -A INPUT -j https_in
  $IPTABLES -A INPUT -j multiport_in
  $IPTABLES -A INPUT -j mudp_in

rilanciarlo e riprovare?
P.S. "commentare" significa aggiungere un # all'inizio della riga, "decommentare" significa rimuoverlo

Comunque ci sta che l'attacco non venga bloccato. Non sono sicuro che in quel modo si blocchi un attacco DOS. Volevo solo capire se lo script funzionava grosso modo. Se poi le regole sono da cambiare si vedrà poi.

[nino72]

Ecco:

nmap -sS -p 1-65535 indirizzo.del.tuo.pc

Codice: Seleziona tutto

root@ns204652:~# nmap -sS -p 1-65535 94.23.11.35

Starting Nmap 4.53 ( http://insecure.org ) at 2009-01-11 22:49 CET
Stats: 0:01:10 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 0.53% done
Stats: 0:02:30 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 1.14% done; ETC: 02:30 (3:38:17 remaining)
Stats: 0:02:34 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 1.17% done; ETC: 02:30 (3:38:11 remaining)

Mi dice tempo rimante 3:38:11 

Cerco di spiegarmi meglio cosi si possono aiutare altre persone che hanno lo stesso mio problema,
Ho attivo un server windows che utilizzavo per i games con i miei amici e da quando sono iniziati i problemi ho deci di passare con Linux perchè tutti mi hanno detto che è superiore come protezione, inoltre un firewall hardware mi hanno chiesto da 150€ in su al mese.
Per difendersi bisogna capire l'attacco + o - allora ho preso il server linux con ubuntu desktop ( almeno posso gestirlo visto che non ci capiso nulla ) visto che quello windows mi scade il 21 gen ho cercato i programmini per attaccare il server linux cosi controllavo se la protezione era OK.
L'attacco che invio su linux è creato da un programmino che nasconde il proprio IP e crea tanti IP inviando delle richieste al server che riceve l'attacco con dei Ping, quando ricevi l'attacco non puoi capire il mittente perchè sono tanti IP e tante porte TCP o UDP la banda arriva anche oltre i 100mb/s e la cpu al 100%
al momento non ho + la testa per spiegarmi meglio inoltre devo andare in ospedale, spero che al mio ritorno ci siano buone notizie per me  (yes)

[fortran77]

Mi dice tempo rimante 3:38:11 

Perché il firewall funziona. Prova a farlo dopo aver disattivato il firewall..
La regola che blocca i portscan serve proprio a questo: li rende inefficaci e dispendiosi in termini di tempo.
Droppando i pacchetti l'attaccante deve attendere il timeout della risposta prima di passare ad una nuova porta.

Se tu mi avessi detto che l'attacco si basava sui ping avrei scritto il firewall per bloccare i ping... pensavo che attaccassero le porte tcp o udp del servizio che ospiti.
Per bloccare i ping commenta la riga

Codice: Seleziona tutto

$IPTABLES -A INPUT -j icmp_in

ovvero non applicare la catena che fa entrare i ping.
Inoltre potresti decommentare la riga

Codice: Seleziona tutto

/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Così stai sicuro che i ping non ti importunano più...

Resta il fatto che non capisco come mai non funzioni la catena del ban dell'ip, ma vabbé.... effettuare un blocco sull'ip in una situazione dove gli ip vengono generati in modo random è inutile.

Come vedi tutto questo thread è stato generato dalla nostra reciproca incomprensione. Tu non hai, immagino, chiarissimo come funzioni una rete e/o un firewall, perché hai sempre usato quelle ciofeche grafiche di windows che nascondono il vero funzionamento all'utente.
Se ti documenti su iptables, e sul funzionamento delle reti, diventi magicamente in grado di risolvere questi piccoli problemucci e aiuti pure chi ti deve aiutare, dandogli delle informazioni utili.

A scanso di equivoci futuri i ping usano il protocollo ICMP, non quello TCP o UDP. I ping non si fanno su delle "porte", perché le porte sono definite solo per i protocolli tcp e udp.
http://it.wikipedia.org/wiki/ICMP

[nino72]

Rieccomi,

Nulla da fare il problema persiste e non desiste.
Ecco il comando che invio per attaccarmi il server per testarlo.

cd:\> xxpoof  -S 0 -p 22 -s 0 -n 0 -d 0
questo esempio lo trovate qui: http://skullbox.net/spoofeddos.php


::) :-\

[nino72]

Allora 

ho risolto il problema che il server accettava gli attacchi anche nelle porte chiuse grazie  (good) fortran77  (good)
E' rimasto l'utimo problema che con l'attacco nella porta utilizzata non filtra nulla  (nono)
qundi se la porta 80 è attiva e l'attacco è diretto su quella porta il firewall non blocca.
E' possibile filtrare le porte??

[nino72]

ho trovato questo in rete forse può essere utile??

Codice: Seleziona tutto

# iptables -nL 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 (prima non c'erano queste due righe) 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 
CFG tcp -- 192.168.1.6 0.0.0.0/0 tcp dpt:80 Records Packet's Source Interface 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
pingflood icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW 
synflood tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x37 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29 
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 
ACCEPT 2 -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8082 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:161 
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 
DROP all -- 0.0.0.0/0 0.0.0.0/0 

Chain FORWARD (policy ACCEPT) 
target prot opt source destination 
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS set 1360 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
pingflood icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW 
synflood tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x37 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:500 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:520 
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT 2 -- 0.0.0.0/0 0.0.0.0/0 
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW 
ACCEPT udp -- 0.0.0.0/0 192.168.1.6 udp dpt:4772 
ACCEPT tcp -- 0.0.0.0/0 192.168.1.6 tcp dpt:4662 
DROP all -- 0.0.0.0/0 0.0.0.0/0 

Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 state INVALID 

Chain pingflood (2 references) 
target prot opt source destination 
RETURN icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 

Chain synflood (2 references) 
target prot opt source destination 
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 15/sec burst 25 
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset 

[fortran77]

Beh dipende come funziona questo attacco. Senza capire come funziona realmente possiamo fare poco per prevenirlo.

Funziona mandando numerose richieste di connessione (SYN) contemporanee? E' più elaborato?
Le regole di cui sopra limitano solo i pacchetti con flag SYN (nuove connessioni), FIN (termine di connessioni) e RST (errori) a 1 al secondo.
Qual'è l'effetto dell'attacco? Occupa le risorse del processore? Pianta la scheda di rete? Resetta la connessione?

Ci dici talmente poco che è come navigare con la palla di vetro. Ma ti interessa davvero risolvere il problema?

[nino72]

Beh dipende come funziona questo attacco. Senza capire come funziona realmente possiamo fare poco per prevenirlo.

Funziona mandando numerose richieste di connessione (SYN) contemporanee? E' più elaborato?
Le regole di cui sopra limitano solo i pacchetti con flag SYN (nuove connessioni), FIN (termine di connessioni) e RST (errori) a 1 al secondo.
Qual'è l'effetto dell'attacco? Occupa le risorse del processore? Pianta la scheda di rete? Resetta la connessione?

Ci dici talmente poco che è come navigare con la palla di vetro. Ma ti interessa davvero risolvere il problema?

Allora l'attacco viene effettuato nelle porte aperte da tanti ip diversi, magari se guadi il link che ho inerito prima vedevi il problema.
Qundi supponiamo che la porta è la tcp 80 con quel tipo di attacco tanti ip inviano pacchetti in quella porta da far collassare tutto.
Certo che mi interessa risolvere il problema.

[fortran77]

Ma pacchetti di che tipo?
Il firewall, con le regole che ti ho postato, dovrebbe già filtrare i pacchetti RST, SYN e FIN.

Prova con questo nuovo script e dimmi se ancora ti occupa il 100% di processore (è quello il problema no?)

Codice: Seleziona tutto

#!/bin/sh
IFACE=eth0 #Interfaccia esterna ethernet
SSH_PORT=22
MPORTS=5970:5979
UPORTS=7000:9000
IPTABLES=/sbin/iptables

#IP to ban from net access (list separated with spaces)
BAN_IP="10.0.0.1"
##########################################################################
#Pulisco tutte le regole e ripristino quelle di default (ACCEPT)
##########################################################################
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Set Defaults to ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

##########################################################################
#Definisco la policy di default
##########################################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

##########################################################################
#Definisco le catene per i vari tipi di paccehtti
##########################################################################
#Catena per le connessioni gia' avviate (da mettere in fondo alle regole)
 $IPTABLES -N connessioni_avviate
 $IPTABLES -F connessioni_avviate
 $IPTABLES -A connessioni_avviate -m state --state ESTABLISHED,RELATED -j ACCEPT
 $IPTABLES -A connessioni_avviate -i $IFACE -m limit -j LOG --log-prefix "FW:Bad packet from ${IFACE}:"
 $IPTABLES -A connessioni_avviate -j DROP

##Catena per bloccare uno specifico ip
##Non funziona, non so perche'.
# $IPTABLES -N ban_ip
# $IPTABLES -F ban_ip
# for i in $BAN_IP; do
#     $IPTABLES -A ban_ip -m iprange --src-range $i -j DROP
# done

#Catena per il traffico ICMP in entrata
#ICMP (in entrata) Solo se fanno parte di connessioni preesistenti, cioe' si tratta di una risposta ad un 
#pacchetto inviato dalla nostra rete
 $IPTABLES -N icmp_in
 $IPTABLES -F icmp_in
 $IPTABLES -A icmp_in -p icmp --icmp-type time-exceeded -j ACCEPT
 $IPTABLES -A icmp_in -p icmp --icmp-type destination-unreachable -j ACCEPT
#protezione dai PING-FLOOD
 $IPTABLES -A icmp_in -p icmp --icmp-type ping -m limit --limit 1/s -j ACCEPT
 $IPTABLES -A icmp_in -p icmp -j LOG --log-prefix "FW:Bad ICMP traffic:"

#Protezione dai SYN-FLOOD
 $IPTABLES -N syn_flood
 $IPTABLES -F syn_flood
 $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
 $IPTABLES -A syn_flood -p tcp --syn -j DROP

#Protezione dai FLOOD SPOOFED
 $IPTABLES -N spoof_flood
 $IPTABLES -F spoof_flood
 $IPTABLES -A spoof_flood -p tcp -i $IFACE -m state --state NEW -m recent --set
 $IPTABLES -A spoof_flood -p tcp -i $IFACE -m state --state NEW -m recent --update --seconds 30 --hitcount 4 -j DROP

#Catena per SSH in entrata
#SSH (in entrata) In entrata abilitato il traffico per la porta $SSH_PORT
#Limtati i pacchetti RST FIN e SYN a 1/second
 $IPTABLES -N ssh_in
 $IPTABLES -F ssh_in
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico HTTP in entrata
 $IPTABLES -N http_in
 $IPTABLES -F http_in
 $IPTABLES -A http_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport 80 -j ACCEPT
 $IPTABLES -A http_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport 80 -j ACCEPT
 $IPTABLES -A http_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport 80 -j ACCEPT
 $IPTABLES -A http_in -o $IFACE -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico HTTPS in entrata
 $IPTABLES -N https_in
 $IPTABLES -F https_in
 $IPTABLES -A https_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport 443 -j ACCEPT
 $IPTABLES -A https_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport 443 -j ACCEPT
 $IPTABLES -A https_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport 443 -j ACCEPT
 $IPTABLES -A https_in -o $IFACE -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico TCP da 5970 a 5979
 $IPTABLES -N multiport_in
 $IPTABLES -F multiport_in
 $IPTABLES -A multiport_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST -m multiport --dports $MPORTS -j ACCEPT
 $IPTABLES -A multiport_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN -m multiport --dports $MPORTS -j ACCEPT
 $IPTABLES -A multiport_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN -m multiport --dports $MPORTS -j ACCEPT
 $IPTABLES -A multiport_in -o $IFACE -p tcp -m multiport --dports $MPORTS -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico UDP da 7000 a 9000
 $IPTABLES -N mudp_in
 $IPTABLES -F mudp_in
 $IPTABLES -A mudp_in -i $IFACE -m limit --limit 1/second -p udp -m multiport --dports $UPORTS -m state --state NEW,ESTABLISHED -j ACCEPT

##########################################################################
#Definisco la catene per intercettare i portscan
##########################################################################
#Catena per loggare i portscan
 $IPTABLES -N portscan
 $IPTABLES -F portscan
#NMAP-XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "FW:SCAN:NMAP-XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
#XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP
#XMAS-PSH
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS-PSH:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
#NULL_SCAN 
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:NULL_SCAN:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP
#SYN/RST
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/RST:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#SYN/FIN
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/FIN:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

#Catena per droppare i portscan
 $IPTABLES -N portscan_drop
 $IPTABLES -F portscan_drop
#NMAP-XMAS
 $IPTABLES -A portscan_drop -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
#XMAS
 $IPTABLES -A portscan_drop -p tcp --tcp-flags ALL ALL -j DROP
#XMAS-PSH
 $IPTABLES -A portscan_drop -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
#NULL_SCAN 
 $IPTABLES -A portscan_drop -p tcp --tcp-flags ALL NONE -j DROP
#SYN/RST
 $IPTABLES -A portscan_drop -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#SYN/FIN
 $IPTABLES -A portscan_drop -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

##########################################################################
#Variabili SYS-CTL 
##########################################################################
#Abilita o disabilita l'IP FORWARDING
#echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

#DYNAMIC ADDRESSING (utile per il forwarding)
#/bin/echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#Disabilita l'IP Spoofing
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Non rispondere ai PING
#/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Non rispondere agli ICMP BROADCAST (attacchi smurf)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Disabilita l'accettazione dei REDIRECT
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

#Protezione verso i messaggi di errore ICMP malformati
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#Disabilita i pacchetti source routed (previene dal guardare attraverso il NAT)
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

#Abilita LOG_MARTIANS (effettua il log dei pacchetti strani)
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

#Abilita il  REVERSE PATH FILTERING
for i in /proc/sys/net/ipv4/conf/*; do
  /bin/echo "1" > $i/rp_filter
done

##########################################################################
#Applico le catene a INPUT, OUTPUT e FORWARD
#Scarto i pacchetti INVALID
##########################################################################
#Applico le catene a INPUT
  $IPTABLES -A INPUT -j portscan_drop
  $IPTABLES -A INPUT -j syn_flood
  $IPTABLES -A INPUT -j spoof_flood
  $IPTABLES -A INPUT -m state --state INVALID -j DROP
#  $IPTABLES -A INPUT -j ban_ip
#  $IPTABLES -A INPUT -j icmp_in
  $IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  $IPTABLES -A INPUT -j ssh_in
  $IPTABLES -A INPUT -j https_in
  $IPTABLES -A INPUT -j multiport_in
  $IPTABLES -A INPUT -j mudp_in
  $IPTABLES -A INPUT -j connessioni_avviate

#Applico le catene a OUTPUT
#  $IPTABLES -A OUTPUT -m state --state INVALID -j DROP 
#  $IPTABLES -A OUTPUT -d 127.0.0.1 -j ACCEPT

#Applico le catene a FORWARD
  $IPTABLES -A FORWARD -m state --state INVALID -j DROP
  $IPTABLES -A FORWARD -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  $IPTABLES -A FORWARD -j connessioni_avviate

[nino72]

Ciao,
Adesso provo lo script postato e ti farò sapere.
tutto quello che hai postato in predecenza è perfetto l'unico problema è filtrare le porte aperte,
Fammi sapere se hai aperto il link che ho postato cosi potrai capire il mio problema.

questo esempio lo trovate qui: http://skullbox.net/spoofeddos.php

[nino72]

ho provato ma ancora nulla non blocca quel tipo di attacco.
Possiamo fare una cosa?? ti mando i dati di accesso al server tu entri io invio l'attacco e vedi che la banda arriva a 30mb/s ( questo è il massimo che riesco ad inviare)
tu se puoi controlli i log e almeno ti rendi conto di cosa succede.
Fammi sapere grazie