Создание ловушек---------------- Едва ли кто нибудь из нас желал бы

1. Создание ловушек
2. ----------------
3.  
4. Едва ли кто нибудь из нас желал бы угодить в ловушку,
5. если конечно вы цените свою жизнь. Расширение TARPIT представляет
6. собой эквивалент ловушки -- попавшему в нее не удастся быстро
7. выбраться на свободу. Если вы были настолько неблагоразумны, что
8. попытались установить соединение с портом-ловушкой, то обнаружите, что
9. закрыть такое соединение (и освободить тем самым системные ресурсы) не
10. так-то просто.
11.  
12. Чтобы добиться такого эффекта, iptables подтверждает запрос на TCP/IP
13. соединение и устанавливает размер окна равным нулю, что вынуждает
14. атакующую систему прекратить передачу данных -- очень напоминает
15. нажатие комбинации Ctrl+S в терминале. Любые попытки атакующего
16. закрыть соединение игнорируются, таким образом соединение остается
17. открытым, пока не истечет срок тайм аута (обычно 12-24 минуты), что в
18. свою очередь приводит к расходу системных ресурсов атакующей системы
19. (но не системы-ловушки). Правило, создающее ловушку может выглядеть
20. примерно так:
21.  
22. iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT
23.  
24. Едва ли стоит использовать conntrack и TARPIT на одной и той же
25. системе, особенно если ожидается большое число соединений, попавших в
26. ловушку. Каждое такое соединение будет расходовать ресурсы conntrack.
27.  
28. Еще один пример -- как можно оконфузить злоумышленника, имитируя
29. поведение Microsoft Windows. В ответ на попытку сканирования портов
30. netbios система может отвечать системе атакующего, а затем переводить
31. эти соединения на TARPIT. Атакующий будет тратить время впустую,
32. полагая, что порты открыты и пытаясь установить соединение. Он будет
33. крепко раздосадован долгим ожиданием ответа и явно безумным поведением
34. атакуемой системы. Правило, которое дает такой эффект может выглядеть
35. следующим образом:
36.  
37. iptables -A INPUT -p tcp -m tcp -m mport \
38. --dports 135,139,1025 -j TARPIT
39.  
40. Еще один пример использования TARPIT -- установить ловушки на ВСЕ
41. порты, кроме определенных вами. Это опять-таки будет вводить в
42. заблуждение посторонних, демонстрируя им, что все порты открыты и
43. заставляя их тратить свое время на попытки установить соединение.
44. Более того, это предотвращает возможность определения типа
45. операционной системы на системе-ловушке с помощью tcpdump. В данном
46. примере легитимными считаются только сервисы WEB и E-MAIL, любые
47. другие соединения будут "срываться" в ловушку.
48.  
49. iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
50. iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
51. iptables -A INPUT -p tcp -m tcp -j TARPIT
52.  
53. На http://www.spinics.net/lists/netfilter/msg17583.html вы найдете
54. интересный пример из реальной жизни, когда расширение string и TARPIT
55. сослужили неплохую службу системному администратору (не мне) .