angriffe auf web-server

dramen

dramen

Routinier
hallo!

ich habe in meiner access_log in etwa folgenden eintrag (kommt oft vor - immer wieder die gleiche ip-adresse):
62.178.130.127 - - [08/Mar/2005:23:15:16 +0000] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\
.
.
.
x90\x02\xb1\x02\xb1" 414 334

ich vermute dass da jemand versucht einen pufferüberlauf auf meinem server zu erzeugen!?

problem: habe gestern folgendes gemacht: iptables -A INPUT -s 62.178.130.127 -j DROP .... und trotzdem der gleiche "angriff"!? das mit iptables müsste doch normalerweise funktionieren?!?
 
Immer von derselben IP? IMHO bringt das Filtern von IPs bei FW-Einträgen nicht sonderlich viel und ist eher gefährlich (bei nicht-Heimmachinen) da du möglicherweise die Proxies grosser ISPs aussperrst ;).
 
was mich aber interessiert wieso es nicht funktioniert?!? mit diesem iptables-befehl müsste der kernel doch jeden zugriff mit dieser ip-adresse verwerfen. oder funktioniert das nicht?!
 
moin,

es kommt auch drauf an, wo die regel steht. wenn du in deinem script *weiter oben* ne regel hast, die alles auf port 80 durchlässt etc., dann greift die *DROP regel* nicht mehr.


eventuell ist das ja das problem.


Gruß HL
 
den befehl habe ich auf der konsole eingetippt. da müsste der doch so lange gelten bis der computer rennt!?
 
Tut er. Aber mit -A setzt du ihn ans Ende aller Filterregeln. Und wenn das Paket vorher schon auf eine Regel passt greift das nicht mehr.

Probier mal "-I 1 " statt "-A "
 
monarch schrieb:
Tut er. Aber mit -A setzt du ihn ans Ende aller Filterregeln. Und wenn das Paket vorher schon auf eine Regel passt greift das nicht mehr.

Probier mal "-I 1 " statt "-A "

meinst du -I ... also i wie ida: iptables -I INPUT -s 62.178.130.127 -j DROP damit die regel an den anfang gesetzt wird.
 
ich vermute die fehlt die netzmaske bzw der bereich fuer die ip adresse

sprich
iptables -A INPUT -s 62.178.130.127/32 -j DROP

bzw das eingehende interface angeben

/edit:
wobei ich persoenlich wuerde bei tcp sogar -j REJECT verwenden :devil:
 
RTDI schrieb:
ich vermute die fehlt die netzmaske bzw der bereich fuer die ip adresse

sprich
iptables -A INPUT -s 62.178.130.127/32 -j DROP

bzw das eingehende interface angeben

/edit:
wobei ich persoenlich wuerde bei tcp sogar -j REJECT verwenden :devil:
Dann ist der Server anfälliger für DOS Attacken.
 
es ging ja nur um die eine ip adresse...

ich hab ja nicht gesagt, dass diese aktion automatisiert erfolgen soll
 
aus der iptables-manpage:
REJECT
This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to DROP so it is a terminating TARGET, ending rule traversal.

ich würde lieber drop verwenden da es keine rückmeldung gibt!

sonst hat das so schon funktioniert!!
 
dramen schrieb:
meinst du -I ... also i wie ida: iptables -I INPUT -s 62.178.130.127 -j DROP damit die regel an den anfang gesetzt wird.

Ida, ja. Sorry, "-I INPUT 1" heißt das, nicht "-I 1 INPUT ".


Du machst:
Code:
iptables -I INPUT 1 -s 62.178.130.127 -j DROP

Und die Regel steht an Stelle 1 im Regelwerk.
 
RTDI schrieb:
es ging ja nur um die eine ip adresse...

ich hab ja nicht gesagt, dass diese aktion automatisiert erfolgen soll
Trotzdem haben Server und Angreifer genug Bandbreite genügt ein Angreifer, um den Apachen flach zu legen.
 
Kleiner Tip am Rande (im Ernstfall läge das Kind schon im Brunnen): Probiere iptables-Anweisungen immer erst mit -j LOG aus.

1. sieht man dann im Syslog erstmal was passierenwürde, bevor man sich versehentlich aus dem root-Server ausgesperrt hat (peinlich, teuer, schon den besten Leuten passiert)

2. Kann man dann die "scharfe" DROP-Regel an das LOG anhängen, sonst werden nämlich die erfolgten DROPs nicht geloggt, und ermöglichen ggfs. Tools wie logcheck oder fwstate nicht zu reagieren

Optimalerweise sollte man das -j LOG noch mit einem --burst Agument versehen, damit das log nicht geflutet wird und sich die Resistenz gegen DDOS verbessert.

just my 2Cents
 

Ähnliche Themen

iptables - default policy - Server macht dicht

Debian Routing Problem

iptables mit vielen offenen Fragen

OpenSuse 11.1 USB Festplatte wird nicht erkannt

Problem mit Squid-Proxy Transparent + ASA 5505

Zurück
Oben