https://opennet.dev/openforum/vsluhforumID1/91122.html Многоуважаемый All,<br><br>Существует ли возможность отправить "RST" на "destination" по правилу находящемуся в цепочке INPUT (в пакетном фильтре iptables)?<br><br>Необходимость возникла в связи с ddos, который идентифицируем лишь на стадии установленного соединения (после tcp handshake и порождения со стороны сервиса потомка обслуживающего это соединение).<br><br>Т.е. по первому же пакету после syn/ack я средствами iptables (-m string --string test) могу распознать, что клиент это bot-машина участвующая в ddos, но если выполню DROP либо REJECT, то со стороны сервиса останется болтаться потомок ожидающий запроса. Понимаю, что существует возможность выполнить REJECT в цепочке OUTPUT, но это "уже поздно" потому как сервису всё-таки придётся выполнить запрос от участника ddos.<br><br>Кто сталкивался с подобным, подскажите пожалуйста<br> https://opennet.dev/openforum/vsluhforumID1/91122.html#8 Sat, 12 Mar 2011 20:16:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt; в цепочке OUTPUT, но это "уже поздно" потому как сервису всё-таки <br>&gt;&gt; придётся выполнить запрос от участника ddos.<br>&gt;&gt; Кто сталкивался с подобным, подскажите пожалуйста <br>&gt; tarpit - модуль к netfilter <br>&gt; незаслуженно забытое оружие.<br>&gt; Делает следующее - окно соединения на стороне сервера зануляет и соединение со <br>&gt; стороны сервера сбрасывает. На клиенте оно продолжает висеть до выпада по <br>&gt; таймауту.<br>&gt; После этого уже атакующие компьютеры (виндовые члены ботнета) начинают тормозить.<br>&gt; Применять с осторожностью!<br><br>Что-то я не понял, где, применимо к описанной в топике ситуации, будет происходить сброс уже принятого сервером соединения.<br>"соединение со стороны сервера сбрасывает" - имхо это не так. Этого нет ни в типовом описании использования модуля, ни в его коде. Зануление - будет. Но в случае топика - соединение уже будет принято сервером, TARPIT на такие пакеты будет отвечать пакетами с window 0 и всё. (Будет удерживать). Никакого сброса соединения, принятого (веб-?)серве https://opennet.dev/openforum/vsluhforumID1/91122.html#7 Sat, 12 Mar 2011 19:44:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt; в цепочке OUTPUT, но это "уже поздно" потому как сервису всё-таки <br>&gt;&gt; придётся выполнить запрос от участника ddos.<br>&gt;&gt; Кто сталкивался с подобным, подскажите пожалуйста <br>&gt; tarpit - модуль к netfilter <br>&gt; незаслуженно забытое оружие.<br>&gt; Делает следующее - окно соединения на стороне сервера зануляет и соединение со <br>&gt; стороны сервера сбрасывает. На клиенте оно продолжает висеть до выпада по <br>&gt; таймауту.<br>&gt; После этого уже атакующие компьютеры (виндовые члены ботнета) начинают тормозить.<br>&gt; Применять с осторожностью!<br><br>http://ru.wikipedia.org/wiki/Iptables - офигеннейший ман. Можно ну просто зачитаться. Рекомендую.<br><br> https://opennet.dev/openforum/vsluhforumID1/91122.html#6 Sat, 12 Mar 2011 19:40:05 GMT &gt;[оверквотинг удален]<br>&gt; Необходимость возникла в связи с ddos, который идентифицируем лишь на стадии установленного <br>&gt; соединения (после tcp handshake и порождения со стороны сервиса потомка обслуживающего <br>&gt; это соединение).<br>&gt; Т.е. по первому же пакету после syn/ack я средствами iptables (-m string <br>&gt; --string test) могу распознать, что клиент это bot-машина участвующая в ddos, <br>&gt; но если выполню DROP либо REJECT, то со стороны сервиса останется <br>&gt; болтаться потомок ожидающий запроса. Понимаю, что существует возможность выполнить REJECT <br>&gt; в цепочке OUTPUT, но это "уже поздно" потому как сервису всё-таки <br>&gt; придётся выполнить запрос от участника ddos.<br>&gt; Кто сталкивался с подобным, подскажите пожалуйста <br><br>tarpit - модуль к netfilter<br><br>незаслуженно забытое оружие.<br>Делает следующее - окно соединения на стороне сервера зануляет и соединение со стороны сервера сбрасывает. На клиенте оно продолжает висеть до выпада по таймауту.<br>После этого уже атакующие компьютеры (виндовые члены ботнета) начинают https://opennet.dev/openforum/vsluhforumID1/91122.html#5 Thu, 10 Mar 2011 15:03:51 GMT PavelR, Andrey Mitrofanov большое спасибо за советы, теперь уж точно смогу сдвинуться с мертвой точки в этом вопросе<br> https://opennet.dev/openforum/vsluhforumID1/91122.html#4 Thu, 10 Mar 2011 14:55:35 GMT &gt; спасибо за информацию, попробую двинуться в этом направлении <br><br>есть еще другое направление. Более костыльное и ресурсоемкое. =)<br><br>- маркируем ненужные соединения маркером<br>- делаем им стандартный -j REJECT --tcp-reset<br>- делаем cat /proc/net/ip_conntrack, находим там нужные строчки по маркеру, вызываем утилиту сброса соединения, что-то типа отсюда: http://habrahabr.ru/blogs/linux/105441/<br><br>-------------<br><br>Если сервер - веб, то ставим nginx и выкручиваем на приемлимый минимум его параметр по смыслу который "read_timeout" и не паримся ?<br><br><br>--- <br>из возможных действий еще возможно применение ACCEPT-фильтров ?<br> https://opennet.dev/openforum/vsluhforumID1/91122.html#3 Thu, 10 Mar 2011 14:52:43 GMT &gt; Необходимость возникла в связи с ddos, который идентифицируем лишь на стадии установленного <br>&gt; соединения (после tcp handshake и порождения со стороны сервиса потомка обслуживающего <br>&gt; это соединение).<br><br>Ddos-ят веб-сервер?<br><br>Если да, поставить перед апачем или кто там, nginx (он _не форкается на каждое соедиение) и дропать соединения им - по опознаванию ключа в запросе.<br><br>if ($uri ~* "test" ) {<br> return 444;<br>}<br>#а уж что прошло - передавать на ~апач<br><br>http://sysoev.ru/nginx/docs/http/ngx_http_rewrite_module.html#return<br> https://opennet.dev/openforum/vsluhforumID1/91122.html#2 Thu, 10 Mar 2011 14:39:09 GMT спасибо за информацию, попробую двинуться в этом направлении<br> https://opennet.dev/openforum/vsluhforumID1/91122.html#1 Thu, 10 Mar 2011 14:31:45 GMT &gt;[оверквотинг удален]<br>&gt; Необходимость возникла в связи с ddos, который идентифицируем лишь на стадии установленного <br>&gt; соединения (после tcp handshake и порождения со стороны сервиса потомка обслуживающего <br>&gt; это соединение).<br>&gt; Т.е. по первому же пакету после syn/ack я средствами iptables (-m string <br>&gt; --string test) могу распознать, что клиент это bot-машина участвующая в ddos, <br>&gt; но если выполню DROP либо REJECT, то со стороны сервиса останется <br>&gt; болтаться потомок ожидающий запроса. Понимаю, что существует возможность выполнить REJECT <br>&gt; в цепочке OUTPUT, но это "уже поздно" потому как сервису всё-таки <br>&gt; придётся выполнить запрос от участника ddos.<br>&gt; Кто сталкивался с подобным, подскажите пожалуйста <br><br>может быть имеет смысл дописать модуль iptables ?<br><br>wishlist: http://bugzilla.netfilter.org/show_bug.cgi?id=696 - достаточно свежий :-)<br><br>Код модуля - файл /usr/src/linux-source-2.6.32/net/ipv4/netfilter/ipt_REJECT.c, функция send_reset - сравнительно не сложно.<br><br><br><br>