congnghevps.net wrote:
Chào các bạn,
Hiện nay khi làm việc với module recent của iptables mình có gặp 2 thông số là --rcheck và --update. Theo thông tin trong document thì :
--rcheck : trả về kết quả true nếu source ip có trong list
--update : trả về kết quả true nếu source ip có trong list, đồng thời update timestamp
Thật ra mình thấy man page có thể làm mọi người hiểu nhầm:
Code:
[!] --rcheck
Check if the source address of the packet is currently in the list.
[!] --update
Like --rcheck, except it will update the "last seen" timestamp if it matches.
Bằng chứng là với rules như sau:
Code:
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSHCHECK
-A SSHCHECK -m recent --set --name SSH --rsource
-A SSHCHECK -m recent --rcheck --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
Nếu bạn mở một cái terminal rồi chia làm hai:
- nửa trên (server) chạy:
Code:
watch 'cat /proc/net/xt_recent/SSH'
- nửa dưới (client) thử ssh vào server xem. Mỗi lần mở một kết nối thì thấy `last_seen` cũng vẫn thay đổi giống như khi dùng `--update`.
congnghevps.net wrote:
Tuy nhiên mình không hiểu việc update timestamp này có tác dụng như thế nào nhỉ?
Bạn tự thử nghiệm và chú ý đến thông số `--seconds` xem.
congnghevps.net wrote:
Và trường hợp nào dùng rcheck và trường hợp nào dùng update.
Nếu attacker tấn công liên tục từ một IP thì bạn muốn khoảng thời gian hắn bị block (`--seconds`) sẽ tính từ thời điểm hắn gửi packet đầu tiên hay packet cuối cùng.
congnghevps.net wrote:
Nếu có rules tham khảo thì tốt quá, 
Thử rules như trên, sau đó thay `--rcheck` thành `--update` rồi quan sát và so sánh xem.
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận hệ điều hành *nix
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]")
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/3f44f3018ff71ff4a7d22a98f3babb55.png "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")