Руководство FreeBSD


Атаки DoS - часть 2


Вы также должны быть очень осторожны с сервисами, совершающими обратное подключение, такими как tcpwrapper с reverse-identd, который может быть атакован непосредственно. По этой причине возможность tcpwrappers reverse-ident обычно не следует использовать.

Правильным будет запрет доступа к внутренним сервисам из внешней сети путем соответствующей настройки межсетевого экрана на внешнем маршрутизаторе. Идея в том, чтобы предотвратить перегрузку сервисов атаками из внешней сети, а кроме того защитить root от взлома через сеть. Всегда настраивайте исключающий межсетевой экран, т.е. ``закрыть все кроме портов A, B, C, D, и M-Z''. Этим способом вы можете закрыть все порты нижнего диапазона, кроме явно указанных, таких как named (если вы поддерживаете интернет-зону), ntalkd, sendmail, и других сервисов, доступных из интернет. Если вы попробуете настроить межсетевой экран другим способом -- включающий, или разрешающий межсетевой экран, есть большой шанс забыть ``закрыть'' пару сервисов, или добавить новый внутрисетевой сервис и забыть обновить межсетевой экран. Вы можете открыть диапазон портов с большими номерами для обычных приложений без угрозы портам нижнего диапазона. Учтите также, что FreeBSD позволяет вам контролировать диапазоны портов, используемые для динамической привязки через различные переменные sysctl net.inet.ip.portrange (sysctl -a | fgrep portrange), что позволяет упростить настройку межсетевого экрана. Например, вы можете использовать обычный диапазон портов со значениями от 4000 до 5000, и диапазон портов с большими номерами от 49152 до 65535, а затем заблокировать все до 4000 порта (конечно оставив доступ из интернет к определенным портам.

Другой распространенный тип DoS атак называется springboard -- сервер атакуется таким образом, что генерируемые ответы перегружают его, локальную сеть или какие-то другие компьютеры. Наиболее распространенная атака этого вида это широковещательная ICMP ping атака. Атакующий подделывает пакеты ping, подставляя IP адрес машины, которую он намеревается атаковать, и отправляет их на широковещательный адрес вашей локальной сети.


Начало  Назад  Вперед