Galera estou tendo problemas de tentativa invasão em meu sistema..
Tenho o ip da pessoa mas o que fazer!!! Como agir!!
Obrigado
Alexandre Amorim
Versão Imprimível
Galera estou tendo problemas de tentativa invasão em meu sistema..
Tenho o ip da pessoa mas o que fazer!!! Como agir!!
Obrigado
Alexandre Amorim
iptables -I INPUT -s IP -j DROP
e se por acasoo ip for de alguma empresa (nao adsl ou modem) tenta entrar em contato com o responsavel desse ip e avisa que alguem ta tentando faze caca
troque o DROP por REJECTCitação:
Postado originalmente por 1c3_m4n
iptables -I INPUT -s IP -j REJECT
a diferença do DROP para REJECT eh que no REJECT o pacote ao chega no fw, o FW envia a Resposta a pessoa que ta tentando te ataka q a porta ta fechada, enquanto ao drop ele n envia nada, com isso a pessoa que ta atakando vai saber que aquela porta escutando,"Ativa".
já tentou da um telnet para uma maquina q ta escutando a porta 22 do ssh?
ex telnet ip 22
se tiver drop a regra para porta 22 , ele fica la aguardando...
se tiver reject na mesma hora ele recebe uma msg que a porta n exite, mesma coisa de da um telnet para uma porta que n esta ativa.
por isso que eu prefiro o REJECT.
não sei se deu para explica bem, mas quem tiver duvidas, basta testar.
abraço :D
Usa DROP nao usa REJECT ¬¬
Citação:
Postado originalmente por felco
hehehehee sem comentarios :)
MUITO OBRIGADO ATODOS ACHO QUE ASSIM DE UMA FORMA DE OUTRA DROP OU REJECT ESTAREI SEGURO..
GRATO
alexandreamorim
[quote="Brenno"]Concordo com o brenno em usar REJECT é melhor...Citação:
Postado originalmente por 1c3_m4n
Márcio
"The big difference between REJECT and DROP is that REJECT results in an ICMP error being returned. What is this for? Let's look at excerpts from relevant standards document, STD0003 (RFC1122):
Independente de você rejeitar ou dropar um pacote com um bom port scan seu resultado sera o mesmo, poís é presumivel que uma porta que esteja dropando um pacote esteja ouvindo, a diferença está que enquanto o reject irá facilitar um port-scan um drop irá em contra-partida retardar o port-scan por ele não enviar respostas enquanto dropa o "source" fica congelado aguardado uma resposta sobre a porta.Citação:
3.2.2.1 Destination Unreachable: RFC-792
A Destination Unreachable message that is received MUST be
reported to the transport layer. The transport layer SHOULD
use the information appropriately; for example, see Sections
4.1.3.3, 4.2.3.9, and 4.2.4 below. A transport protocol
that has its own mechanism for notifying the sender that a
port is unreachable (e.g., TCP, which sends RST segments)
MUST nevertheless accept an ICMP Port Unreachable for the
same purpose.
Claro existe maneiras de burlar essa espera por time-out mas, no nosso caso, um IP inteiro irá ser dropado então ele nunca tera resposta.
Se voce esta bloqueando um serviço de usuarios legitimos a maneira correta é Rejeitar o pacote, não há porque causar um delay no cliente,
dropando os pacotes dele você so irá causar delay, travamentos de programas, porque se voce bloquear uma porta com reject voce tera um erro em menos de 1 segundo enquanto se você dropar você não terá uma resposta em menos de 189 segundos.
Eu não seria tão legal com alguem que está tentando invadir meu PC... mas anyway... você decide :P
Como vc sabe que estao tentando te invadir? O que vc analisou? Como sou iniciante, gostaria de saber analisar isso!Citação:
Postado originalmente por alexandresamorim
Obrigado.
infelizmente temos que agir igual aos americanos
tão atacando a gente? mete ataque no cara tb.. ou pelo menos, fecha as portas..
pq no Brasil isto não dá nada.. vc cata o IP do cara, 99% é da Telefonica.
vc manda email pro abuse, liga lá e nunca vira nada
ou seja, use um IDS, não deixa ativo o que não for usar e atualize sempre seu sistema. proteja-se, pq ngm + o fará por vc.
ai eh que ta, o tempo que eu falei e q vc falou, so ocorre se a porta esta ativa, ou seja, se vc tem uma porta "ativa" 22, mas tem um regra drop nessa porta, se alguem passa porta scan, ele vai saber q existe um ssh no teu fw na porta 22, ele sabe disso por causa do tempo q o DROP da, enquanto o REJECT já mesma hora avisa q n existe nada nessa porta, entao pq usar o DROP?Citação:
Postado originalmente por felco
pro atakante saber q tem uma porta ativa e tentar bular o fw?
garanto que contra porta scan eficiente o tempo que o drop causa isso n dificulta em nada.
isso eu to falando se o FW n tiver um ids na frente.
até agora não vi a vantagem de usar o DROP.
por isso que eu recomendo o REJECT, ele nunca vai saber que tua porta 22 ta ativa :)
abraço
o que eu tinha de conceito sobre isto era o seguinte
o drop apenas ignora e manda pro lixo
o reject manda 1 resposta pra quem perguntou: cai fora
teoricamente, vc falar "cai fora" é atiçar quem perguntou se tem algo ativo
ou seja, seria o contrário da discussão
pra acaba com essa discução, bora fazer o teste na pratica, chega de bla bla bla..Citação:
Postado originalmente por whinston
na sua maquina fw se vc n tem nada rodando na porta 22 blz, se tiver o ssh, desligue ele, logo em seguinda de uma maquina da sua rede interna, digite o comando:
telnet ip_do_fw 22
ao executa o comando, a msn que vai aparece eh essa
aaa@debian:~$ telnet 192.168.1.1 22
Trying 192.168.1.1...
telnet: Unable to connect to remote host: Connection refused
agora levante o ssh no seu fw na porta 22 e cria essa regra
iptables -I INPUT -p tcp --dport 22 -j REJETC
novamente de o comando: telnet ip_do_fw 22
logo em seguinda vai aparece a mesma msg
aaa@debian:~$ telnet 192.168.1.1 22
Trying 192.168.1.1...
telnet: Unable to connect to remote host: Connection refused
agora troque a regra de REJECT para DROP
iptables -I INPUT -p tcp --dport 22 -j DROP
e execute novamente o comando: telnet ip_do_fw 22
agora vai acontece diferente, vai fica assim:
aaa@debian:~$ telnet 192.168.1.1 22
Trying 192.168.1.1....
ai vai fica assim acho que 1 ou 2 minutos e vai aparece outra msg
telnet: Unable to connect to remote host: Connection refused
antes de fala, eh bom testar ne? teoria eh bom, mas n eh tudo. a teoria sempre tem que andar de mãos dadas com a pratica.
sem +
abraço a todos...
não entendi cara..
vc subiu a regra de drop na 22 e viu a msg
vc subiu a regra de reject e tentou conecta na porta 70? não teria que ser na mesma prota 22 pra ver a msg?
a porta eh 22, errei , mas ja corrigir.Citação:
Postado originalmente por whinston
vlw
fiz o mesmo teste aqui, só que com a porta 25, axo que dá na mesma
telnet xxx 25
Trying xxxx...
Connected to localhost.localdomain (xxx).
iptables -A INPUT -p tcp --dport 25 -j REJECT
telnet xxx 25
Conectando-se a xxx...Não foi possível abrir conexão com host na port
25: conexão falhou
*demorou 15 seg.
limpei as regras, com X F e Z e rodei
iptables -A INPUT -p tcp --dport 25 -j DROP
Conectando-se a xxx...Não foi possível abrir conexão com host na port
25: conexão falhou
*demorou 15 seg.
estranho que ambos demoraram 15 segundos!
eu achei que o reject fosse de imediato, mas não foi.
a REJECT eh imediato,Citação:
Postado originalmente por whinston
se n foi tem algo errado,
acompanhe o pacote se ta passando pela sua regra no fw.
iptables -L -v |more
whinston a distro do breno deve funcionar com o REJECT + tcp rst...
O fato eh que quando vc da um REJECT vc envia uma resposta logo vc se mostra ativo quando vc da um DROP vc nao envia resposta nenhuma
Independente do metodo um atacante sabe como funciona... isso nao fara diferenca...
Porem vamos analizar um spyware windows... ele funciona automaticamente, se ele tentar abrir uma conexao eh receber uma resposta mesmo que seja de falha ele, na sequencia, inicia outra conexao... caso nao receba nenhuma resposta tera que aguardar, imagine agora o MSN... se recebe uma resposta de erro tenta usar outro server para conectar... se nao recebe resposta acredita nao haver conexao com a internet... porque? porque ele é politicamente correto... ele entende que deveria receber um icmp tipo 3 caso contrario nao há conexao.
primeiro lugar, não se trata de distro e sim de iptablesCitação:
Postado originalmente por felco
em segundo lugar ao falar que o REJECT enviar a msn e o DROP não, eh bom deixa claro que a msg que o REJECT enviar eh a mesma msg que vc ira recebe se a porta esta "inativa", não tem como vc saber se a msg que vc ta recebendo eh de REJECT ou porta inativa. eh bom deixa isso claro. já deu um EXEMPLO CLARO disso.
até agora n vi nem uma vantagem de usar o DROP
abraço
em regras ICMP vc tem 1 exemplo + claro
usando drop, eh como se o host tivesse down
usando reject, a msg que retorna eh diferente
putz, a msn eh = tanto pra DROP ou pra REJECTCitação:
Postado originalmente por whinston
a unica diferença que o drop tem o tempo estimado pra retonar a msg que a coneccao falhou. enquando o reject a msg de falha eh na hora
mas AS MSG SAO IGUAIS..
nem fala mas nada.
quer usar drop? usar :)
fui
so mais 1 coisa, whinston se vc seguiu meu exemplo e pelo q vc disse, o pacote n entro na regra que eu dei no exemplo, provavelmente teu firewall ta furado, so uma dica, olha regra por regra, pois tem algo errado com teu script..
abraço
O REJECT pode ser feito isando vários métodos (como já foi dito) e existe a cláusula --reject-with TIPO_DE_METODO:
Vejam direto do man do iptables:
REJECT
This is used to send back an error packet in response to
the matched packet: otherwise it is equivalent to DROP so
it is a terminating TARGET, ending rule traversal. This
target is only valid in the INPUT, FORWARD and OUTPUT
chains, and user-defined chains which are only called from
those chains. The following option controls the nature of
the error packet returned:
--reject-with type
The type given can be
icmp-net-unreachable
icmp-host-unreachable
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited or
icmp-admin-prohibited (*)
which return the appropriate ICMP error message
(port-unreachable is the default). The option tcp-
reset can be used on rules which only match the TCP
protocol: this causes a TCP RST packet to be sent
back. This is mainly useful for blocking ident
(113/tcp) probes which frequently occur when send
ing mail to broken mail hosts (which won't accept
your mail otherwise).(*)
Using icmp-admin-prohibited with kernels that do not
support it will result in a plain DROP instead of REJECT
nossa mto interassante a discussão, eu gostaria de saber como axodocumentos em portugues sobre isso, e como sei se estaum ou naum me invadindo? :oops: :oops: :oops:
desculpe a carona ai...
abs t+
com sistema ids, snort +guardian.Citação:
Postado originalmente por fpessoa
snort e ids eu tenhu um video aki da revista geek e talz mas eles naum explicam conceito nem nd so mostram como montar e guardian nem conheço...onde eu posso encontrar e-leituras sobre isso?Citação:
Postado originalmente por Brenno
se vc for no google e digitar, snort + guardian, vc vai acha um monte de hwoto sobre o mesmo.
abraço
Cara... aí é que está a pegando...Citação:
Postado originalmente por Brenno
Quando você usa REJECT você envia uma resposta. Quando você usa DROP você não envia resposta nenhuma!
O time-out que é gerado é local poís é necessario um time-out!
O DROP não envia resposta alguma para o host de origem!
DROP = DESCARTAR
oq vc acabou de fala foi a primeira coisa que eu disse.Citação:
Postado originalmente por felco
o DROP N MANDA RESPOSTA, ele fica no TIME_OUT como vc mesmo disse, se ele fica no time-out eu sei q essa porta ta ativa, agora me responde uma coisa, como tu vai saber se a porta ta ativa no REJECT?
pq a msg que o REJECT envia eh a mesma msg que aparece se a porta tivesse inativa, se tu responder isso eu fico calado.
nem vou perde meu tempo com isso.
faz so o teste q eu disse . so falo isso, faz teste la e depois vc posta aqui.
sem nocao aff
usem o que quiser!! vamos nos preocupar com coisas mais!! importantes!!
o cara nem sabe se uma tentativa de invasão de verdade!!
HAUaUHuHAUhaUAHuaHUAHUAHAUahuAHuah
Ilustração:
Se eu estiver em uma casa aparentemente sozinho e gritar:
"Tem alguem ai?"
Se alguem responder eu sei que tem alguem, caso contrario...
Porque você não lê as RFC?
moçada, o tema em discussão fugiu da pergunta inicial, concordo.
mas o fórum, pelo menos eu o vejo assim, não é um espaço meramente pra dar respostas secas sobre determinados assuntos e boa.
tem muitas perguntas que eu faço ou tento fomentar, que é justamente pra trocar idéia de forma abrangente sobre certo tema, ver as experiências dos amigos e até questinar com mais ênfase pra ver se o cara tá realmente certo do que está falando.
acho que discutir é saudável e leva a amadurecimento pessoal e de idéias. não vejo o pq de tanta resposta indelicada com os colegas, tá parecendo a turma do PT. vamos expor nossas idéias, defender o que acreditamos, mas sem descambar pro baixo nível
Acho que o tópico deu o que tinha que dar né?
LOCKED!