|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Member
Iscritto dal: Aug 2012
Messaggi: 268
|
[iptables]difesa dall'attacco basato sui frammenti
ciao in che modo secondo voi un packet filter può difendersi da un attacco basato sui frammenti ?
ho notato che bloccando i frammenti molto siti web sono lenti da navigare e perdo molta velocità nel download : potreste mostrare quali regole iptables utilizzate per gestire i frammenti ? |
![]() |
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
- quale regola hai usato? Hai tolto solo quella?
- si tratta di regole sul firewall/router o sui singoli host? hai provato a loggare o dumpare i pacchetti frammentati, tanto per capire che succede?
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
![]() |
![]() |
![]() |
#3 | |
Member
Iscritto dal: Aug 2012
Messaggi: 268
|
Quote:
Codice:
iptables -A INPUT -f -j DROP |
|
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
Un established,related l'hai messo sopra o sotto quella regola?
Comunque, sniffa un po' di traffico e cerca di capire che succede. La sparo, ma potresti anche avere qualche problema a monte del modem (xdsl, o quello che usi).
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
![]() |
![]() |
![]() |
#5 |
Member
Iscritto dal: Aug 2012
Messaggi: 268
|
ho trovato qualcosa nello specifico qui
http://digilander.libero.it/amilinux...filter-20.html la soluzione sembra essere abilitare nel kernel ip : always defragment http://www.tldp.org/HOWTO/Divert-Soc...i-HOWTO-5.html la soluzione però sembra proposta in una macchina che funge da router con il NAT : non avendola testata non la posso garantire ; posso solo dire che droppando i frammenti bruscamente si riduce notevolmente la velocità in download-upload |
![]() |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: May 2007
Città: Milano
Messaggi: 7098
|
Codice:
#### ICMP iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP iptables -A INPUT -p icmp --fragment -j DROP # Block fragmented ICMP. # Allow incoming Path MTU Discovery (ICMP destination-unreachable/fragmentation-needed) iptables -A INPUT -p icmp --icmp-type 3/4 -m state --state NEW -j ACCEPT # Allow incoming request to decrease rate of sent packets (ICMP Source Quench) iptables -A INPUT -p icmp --icmp-type 4 -m state --state NEW -j ACCEPT # Allow and throttle incoming ping (ICMP Echo-Request). iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW -m limit --limit 2/s --limit-burst 5 -j ACCEPT # Drop invalid packets immediately iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP # Drop bogus TCP packets iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT
__________________
Apple Watch Ultra + iPhone 15 Pro Max + Rog Ally + Legion Go |
![]() |
![]() |
![]() |
#7 |
Member
Iscritto dal: Aug 2012
Messaggi: 268
|
tu blocchi i frammenti icmp , mentre quelli a mio avviso realmente pericolosi sono i tcp
|
![]() |
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: May 2007
Città: Milano
Messaggi: 7098
|
droppa anche quelli allora
![]()
__________________
Apple Watch Ultra + iPhone 15 Pro Max + Rog Ally + Legion Go |
![]() |
![]() |
![]() |
#9 |
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
infatti droppandoli ha problemi...
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
![]() |
![]() |
![]() |
#10 |
Member
Iscritto dal: Aug 2012
Messaggi: 268
|
|
![]() |
![]() |
![]() |
#11 |
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
nei kernel recenti non è già un opzione di default?
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 17:28.