Iptables TARPIT Target [POM] |
||
|---|---|---|
| #0
| ||
|
29.08.2003, 16:19
Member
 Beiträge: 907 |
||
 
|
|
|
|
29.08.2003, 18:37
Ehrenmitglied
Beiträge: 831 |
#2
Auf alle Fälle interessant.
Am besten hat mir Code
dies gefallen. Erinnert mich stark an Code
-l = listing -p = port -e = programm Damit lauscht netcat auf port 80 und leitet alle anfragen an http.sh weiter. Dies hatte Code iptables -A INPUT -p tcp -j TARPITich schon erfolgreich vor wenigen wochen getestet. mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
|
|
|
|
29.08.2003, 22:43
Member
 Beiträge: 5291 |
#3
Hört sich interessant an, aber entweder hat 2.4 keine TARPIT unterstüzung oder ich habe sie nicht gefunden. Kanns sein das es das nur in der BETA 2.5/2.6 gibt?
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode Dieser Beitrag wurde am 29.08.2003 um 22:46 Uhr von Xeper editiert.
|
|
|
|
|
|
|
30.08.2003, 11:54
Ehrenmitglied
Beiträge: 831 |
#4
Du kannst auch 2.4 nehmen.
Aber du musst den patch http://labrea.sourceforge.net/labrea-info.html auch dort reinfrimmeln. mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
|
|
|
|
30.08.2003, 13:38
Member
Beiträge: 5291 |
#5
Danke für die Info, poiin2000 - Den Patch da reinzufrimmeln wer kein Problem aber will nicht neustarten so wichtig ist es nicht aber gut zu wissen das es nen Patch gibt.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
31.08.2003, 17:26
Member
Themenstarter Beiträge: 907 |
#6
hey folks,
jo auf jeden interessant... @poiin2000 du sagst, du hast es schon getestet mit o.g. rule wie ist die cpu last auf deinem rechner und wurde anderer verkehr (evtl. geforwarded- bzw. getnated) dadurch in der geschw. beeinflusst? wie schnell schließt eigentlich der "tarpit-server" die window-size? einigen würmern reicht evtl. schon die kurze antwortzeit, die der server noch gestattet, bis das window 0 ist ergo wäre das tarpit bei einigen dieser würmer unnütz, oder? aber gegen scannen echt klasse gleicht ja fast nem honey-pot-scan-ergebnis greez |
|
|
|
|
|
|
31.08.2003, 23:31
Ehrenmitglied
Beiträge: 831 |
#7
Zitat
Ich habe es bisher nur lokal getestet. Zitat
labrea - Honeypot for incoming IP connection attempts __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hab grad bei securityfocus vom neuen TARPIT Modul gelesen.
klingt ganz interessant
eigene summary :
"schutz gegen wurmattacken"
Würmer scannen von außen rechner, um informationen über laufende dienste zu sammeln und dann den angriff zu starten
Das TARPIT-Target agiert folgendermassen:
es kennzeichnet die vom user in der rule angegebenen ports als offen
der wurm schickt nun ein TCP-Paket mit SYN-Flag
dieses wird mit ACK/SYN von der Linux-FW beantwortet, und dabei die windowsize veringert
dies geschieht so lang, bis die window-size = 0 ist, der wurm also keine daten mehr senden kann und somit sein angriff zunächst gestoppt wird
die verbindung bleibt aber noch offen
das problem für die wümer ist hier einfach, dass sie so geschrieben sind, dass sie schnell informationen sammeln und dann code ausführen - ersteres wird hier so gehämmt, dass der angriff ins leere läuft, der wurm also "gebremst" wird
somit soll eine rasante ausbreitung des wurms verhindert werden
[...read more...]
http://www.securityfocus.com/infocus/1723
finde ich ganz interessant, zumal man es auch gegen portscans einsetzen kann, und dem scanner eine windows-kiste "vorgaukeln" kann
hat jmd. schon getestet?
greez