Читаем Спецвыпуск журнала «Хакер» 47, октябрь 2004 г. полностью

Чтобы сервер не стал жертвой DoS-атаки, можно включить механизм syncookies, который служит для защиты сервера от SYN-флуда.

При серьезной атаке может не менее серьезно выручить. Выстави следующую переменную:

Листинг

net.inet.tcp.syncookies=1

Чтобы затруднить определение версии твоей ОС анализом приходящих от нее пакетов, изменим значение Time To Live:

Листинг

net.inet.ip.ttl=64

Современная система не должна отвечать на широковещательные пинги, но и по сей день существуют сети, которые могут стать источником DoS-атаки. Чтобы не попасть в их список, выставляем:

Листинг

net.inet.icmp.bmcastecho=0

Если ты хочешь отслеживать коннекты на закрытые порты твой машины, используй следующую переменную:

Листинг

net.inet.tcp.log_in_vain=1

На нагруженном сервере, правда, тебя может засыпать количеством сообщений.

Если не нужна поддержка смешного протокола T/TCP (TCP for Transactions), то пакеты с флагами SYN+FIN можно смело отбрасывать как неликвидные :). Протокол редко где используется, а потому это имеет смысл.

Листинг

net.inet.tcp.drop_synfin=1

Вторжение в систему начинается со сканирования – это прописная истина. Можно (и нужно) уже на этом этапе усложнить жизнь злоумышленнику. Так, пакетный фильтр OpenBSD PF имеет встроенную возможность определения и блокирования сканеров, используя технологию Passive OS Fingerprinting. Достаточно добавить правило «block quick from any os NMAP» в pf.conf, чтобы результаты работы популярного сканера nmap заставили хакера почесать затылок. Также nmap'у можно противодействовать с помощью «scrub in all» и фильтрации TCP-пакетов с особыми флагами, к примеру:

Листинг

block return-rst in log quick proto tcp all flags FP/FP

block return-rst in log quick proto tcp all flags SE/SE

block return-rst in log quick proto tcp all flags FUP/FUP

Но можно обойтись и userland-средствами. Например, утилитой portsentry.

Она открывает для прослушивания указанные TCP/UDP-порты, логирует обращения к ним и позволяет реагировать на сканирование. После скачивания с http://packetstormsecurity.nl/UNIX/IDS/ и установки portsentry правим portsentry.conf:

Листинг

TCP_PORTS="42,88,135,139,145,389,443,445,464,593,636,637,1025,1026,1027,1029,1433,3372,3389»

UDP_PORTS="»

Я указал набор TCP-портов, очень похожий на тот, что открывает Windows 2000 Server в дефолтовой установке. UDP-порты прослушивать мы не будем – их редко сканируют.

После этого имеет смыл указать хосты, чье сканирование мы будем игнорировать, например, машины из локалки. Пропиши путь к файлу со списком игнорируемых хостов:

Листинг

IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore»

Чтобы portsentry не занималась ненужным отображением IP-адреса в имя хоста, отключи обратный резольвинг:

Листинг

RESOLVE_HOST = «0»

Далее блокируем IP-адреса хостов, с которых производится сканирование:

Листинг

BLOCK_TCP="1»

А теперь укажи, как ты хочешь это делать. Например, добавлением правила фаервола:

Листинг

KILL_ROUTE="/sbin/ipfw add 1 deny all from $TARGET$:255.255.255.255 to any»

Также можно заносить атакующих в hosts.deny для усиления защиты демонов, использующих tcpwrappers:

Листинг

KILL_HOSTS_DENY="ALL: $TARGET$ : DENY»

Наконец, можно указать баннер, выдаваемый при подключении к порту, прослушиваемому portsentry:

Листинг

PORT_BANNER="WHOM DO YOU WANT TO HACK TODAY?»

Учти, что блокировать хосты таким образом – крайняя мера, так как есть возможность превратить network в notwork, заблокировав легитимных клиентов. В общем случае я бы не рекомендовал использовать KILL_ROUTE. У меня уже два с лишним года работает машинка, приспособленная в свое время именно для снятия подобной статистики (ради интереса). В настоящее время в hosts.deny содержится 12373 записи, и помимо злачных притонов интернета в черный список попали вполне легитимные адреса. Сервисы, работающие на том сервере, не используют tcpwrappers, так что никто не страдает. Но сам факт достоин внимания.

Любой демон, принимающий внешние соединения, так или иначе «демонстрирует себя» баннером – однострочным приветствием, выдающимся клиенту в ответ на соединение с ним. Самый простой способ увидеть это – совершить соединение telnet'ом с сервером на порт, прослушиваемый демоном:

Листинг

[(22:42)(29.10%)(p1):~/articles/tricksec ] telnet smtp.gameland.ru 110

Trying 62.213.71.4…

Connected to smtp.gameland.ru.

Escape character is '^]'.

+OK Microsoft Exchange Server 2003 POP3 server version 6.5.7226.0 (server500.gameland.ru) ready.