เพื่อป้องกันการโจมตีด้วยเดรัจฉานบังคับ ssh ฉันได้เพิ่มกฎ iptables (ด้านล่าง) คำถามคือ: ฉันจะแสดงรายการที่อยู่ IP ที่ถูกบล็อกได้อย่างไร
(1)
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
คำตอบ:
ทางเลือกหนึ่งคือการบันทึกแพ็กเก็ตที่ถูกทิ้งของคุณด้วยกฎเช่น:
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl -j LOG --log-prefix "FW_DROPPED: "
ใส่ที่ทันทีก่อนที่DROPกฎ จากนั้นคุณสามารถ grep ไฟล์ syslog เพื่ออะไรก็ได้ด้วย "FW_DROPPED" ในนั้นและรายการของ IP จะอยู่ที่นั่น รายการในล็อกไฟล์มีลักษณะดังนี้:
Jun 3 08:05:57 some-machine kernel: [15852451.420557] FW_DROPPED: IN=eth0 OUT= MAC=00:50:ba:4a:d9:e3:00:12:17:3a:e3:64:08:00 SRC=228.23.45.189 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=10941 PROTO=TCP SPT=58212 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
ดังนั้นการตัดสิ่งที่ตามมา "SRC =" จะแสดง IP ที่กระตุก เรียงนั้นกำจัดรายการที่ซ้ำกันและคุณจะมีรายการของคุณ
ฉันพบว่าIptables Tutorialเป็นเอกสารที่มีประโยชน์ที่สุดสำหรับ iptables / netfilter
คุณสามารถค้นหารายละเอียดได้ที่ / proc / net / ipt_recent / SSH
บทความนี้มีข้อมูลเพิ่มเติม
ดูที่
/proc/net/ipt_recent/YOURNAME
โดยที่ YOURNAME เป็นชื่อที่คุณใช้กับ - ชื่อตัวเลือกในกฎ iptables ของคุณ
/proc/net/xt_recent/[list-name]
นี่คือหนึ่งซับง่าย:
$ iptables -L -n --line
สิ่งที่ฉันทำเช่นการปลอมแปลงที่อยู่อินพุทคือการกำหนดสายโซ่SPOOF_REJECT:
iptables -N SPOOF_REJECT
iptables -A SPOOF_REJECT -j LOG --log-prefix "Input spoof detected: "
iptables -A SPOOF_REJECT -j REJECT
ถ้าอย่างนั้นจะส่งแพ็กเก็ตไปที่เชนนี้ถ้าพวกเขาถูกหลอก:
iptables -A INPUT -i $EXT_DEV1 -s $INT_NET -j SPOOF_REJECT
iptables -A INPUT -i $EXT_DEV2 -s $INT_NET -j SPOOF_REJECT
คุณสามารถทำสิ่งนี้สำหรับแต่ละประเภทของแพ็คเก็ตที่คุณวางหรือปฏิเสธเพื่อรับบรรทัดใน syslog เพื่อค้นหาจากนั้น grep, cut, sort, เรียงลำดับเพื่อรับที่อยู่ IP จากบรรทัดบันทึกเหล่านี้
ประโยชน์ที่จะได้รับจากแต่ละเครือข่ายสำหรับแต่ละประเภทคือการกำหนดค่าของคุณจะตรงไปตรงมามากขึ้นและอ่านiptablesการกำหนดค่าของคุณได้ง่ายขึ้น เมื่อคุณเพิ่มกฎมากขึ้นเรื่อย ๆ คุณจะดีใจที่คุณใช้การเชื่อมโยงแต่ละรายการสำหรับการกระทำที่แตกต่างกัน
"คำถามคือ: ฉันจะแสดงรายการที่อยู่ IP ที่ถูกบล็อกได้อย่างไร"
สร้างเชน BANNED:
iptables -N BANNED
iptables -F BANNED
สร้างห่วงโซ่การบันทึก:
iptables -N BANNEDLOG
iptables -F BANNEDLOG
iptables -A BANNEDLOG -j LOG --log-prefix "BANNED:" --log-level 6
iptables -A BANNEDLOG -j DROP
เพิ่มข้ามไปยังแบนที่ถูกห้ามในห่วงโซ่การป้อนข้อมูลก่อนกฎอื่น ๆ ส่วนใหญ่
...
iptables -A INPUT -j BANNED
...
ตอนนี้เพิ่ม ipaddresses ไปยังเชนที่ถูกแบน:
flock -w 5 /var/lock/iptables -c 'iptables -A BANNED -s 140.130.20.202/32 -i eth0 -m comment --comment "2012-03-19 23:49:33 accesslog" -j BANNEDLOG'
etc...
คุณยังสามารถใช้มันเหมือนฐานข้อมูลที่มีตัวเลือกความคิดเห็นดังนั้นคุณสามารถรู้ได้ว่าเมื่อใดและเพราะเหตุใดฝูงแกะจึงมีความสำคัญเมื่อ iptables กำลังได้รับการอัปเดตบ่อยครั้งในหลาย ๆ กระบวนการ - ปรากฏว่า iptables ไม่มีการล็อคใด ๆ
วิธีดูที่อยู่และกฎที่ถูกแบนในเชนที่ถูกแบน:
iptables -S BANNED
วิธีดูเฉพาะไอแพดที่ไม่ซ้ำกัน:
iptables -S BANNED | egrep -o '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort -u
ฉันมี daemons จำนวนหนึ่งที่ทำงานบนเซิร์ฟเวอร์ของฉันเพื่อตรวจสอบไฟล์ syslog และเว็บบล็อกดังนั้นหากมีสิ่งใดที่น่ารังเกียจที่ใครบางคนกำลังพยายามที่อยู่อีเมลของพวกเขาจะถูกแบนโดยอัตโนมัติเป็นเวลาสองสามวันขึ้นอยู่กับประเภทและความรุนแรง ข้อมูลถูกบันทึกลงในฐานข้อมูล mysql และหมดอายุเป็นระยะ ที่อยู่จะถูกแจกจ่ายไปยังเครื่องอื่น ๆ ทุกเครื่องในคลัสเตอร์ผ่านการจำลองแบบ mysql ดังนั้นจึงได้รับการปกป้องและซิงค์อยู่เสมอ ซอฟต์แวร์ของฉันยังค้นหาเจ้าของเครือข่ายและส่งคำร้องเรียนไปยัง ISP
หลังจาก 10 ปีของการทำงานฉันหวังว่าจะทำให้ทุกคนสามารถใช้งานได้ในไม่ช้า ขณะนี้ฉันมีประวัติที่อยู่ IP ประมาณ 1.5 ล้านคนและมีรายงานการโจมตีเมลและ ssh หลายแสนรายการช่วยล้างเครือข่าย ถ้าใช้มากกว่านี้ฉันก็หวังว่ามันจะมีผลกระทบมากกว่านี้
iptables -L INPUT -v -nแสดง IP ที่ถูกบล็อกทั้งหมด