Messages posted by: actuladn

mọi người cho em hỏi vấn đề tương tự trong mô hình của một cty.
modem ----- SW core ---- Client SW
Mục tiêu đưa ra là vẽ lại sơ đồ hạn chế các cuộc tấn công bên ngoài vào, và không ảnh hưởng đến tốc độ truy cập. E có nghĩ đến IPS trên iptables nhưng chưa biết đặt đâu để có hiệu quả tốt nhất.
Em định vẽ sơ đố gắn con IPS vào 1 port sw core.nhưng nếu có tấn công DOS không biết IPS có ngăn chặn được không?
mọi người nêu ý kiến cho e với

hoatuyetkma wrote:

xem hết rùi mà ko được bạn ah! nán wa đi mất

cái câu này y chang bên diễn đàn nhatnghe. bên đó mình nói chỉnh lại user mà qua bên đây vẫn còn smilie

cám ơn anh Conmale!!!
Hôm bữa gặp ông thầy, bỗng nhiên thấy Cain ngoài desktop thì hỏi là iptables có chặn được Cain không?
Em thử dùng Cain sniff password. tcpdump thì thấy nhiều gói ARP. Nhưng LOG trên iptables thì không thấy gì cả. Như vậy, iptables không giám sát được các gói tin ARP request và reply?

em thử scan bằng superscan vào iptables và có kết quả như sau:

[root@localhost ~]# tcpdump host 192.168.1.20
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:10:56.551244 IP 192.168.1.2 > 192.168.1.20: ICMP echo request, id 512, seq 12, length 32
14:10:56.599230 IP 192.168.1.20 > 192.168.1.2: ICMP echo reply, id 512, seq 12, length 32
14:10:56.556333 IP 192.168.1.20.49137 > 192.168.1.1.domain: 61456+ PTR? 20.1.168.192.in-addr.arpa. (43)
14:10:56.578349 IP 192.168.1.1.domain > 192.168.1.20.49137: 61456 NXDomain* 0/1/0 (105)
14:10:56.579941 IP 192.168.1.20.54892 > 192.168.1.1.domain: 37743+ PTR? 2.1.168.192.in-addr.arpa. (42)
14:10:56.598222 IP 192.168.1.1.domain > 192.168.1.20.54892: 37743 NXDomain* 0/1/0 (104)
14:10:56.599839 IP 192.168.1.20.55980 > 192.168.1.1.domain: 23601+ PTR? 1.1.168.192.in-addr.arpa. (42)
14:10:56.621413 IP 192.168.1.1.domain > 192.168.1.20.55980: 23601 NXDomain* 0/1/0 (104)
14:10:59.691167 arp who-has 192.168.1.20 tell 192.168.1.1
14:10:59.691534 arp reply 192.168.1.20 is-at 00:0c:29:0c:54:48 (oui Unknown)
14:11:00.357953 IP 192.168.1.2.bmc-ar > 192.168.1.20.ilss: UDP, length 4
14:11:00.370602 IP 192.168.1.2.fast-rem-serv > 192.168.1.20.microsoft-ds: UDP, length 4
14:11:00.381886 IP 192.168.1.2.dirgis > 192.168.1.20.epmap: UDP, length 8
14:11:00.412017 IP 192.168.1.2.quaddb > 192.168.1.20.11487: UDP, length 4
14:11:00.440774 IP 192.168.1.2.odn-castraq > 192.168.1.20.filenet-re: UDP, length 40
14:11:00.441042 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
14:11:00.470675 IP 192.168.1.2.2499 > 192.168.1.20.sa-msg-port: [|radius]
14:11:00.495897 IP 192.168.1.2.rtsserv > 192.168.1.20.snmp: [1 extra after iSEQ]GetNextRequest(18) .iso.org
14:11:00.496023 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 70
14:11:00.519849 IP 192.168.1.2.rtsclient > 192.168.1.20.1024: UDP, length 4
14:11:00.546102 IP 192.168.1.2.kentrox-prot > 192.168.1.20.systat: UDP, length 4
14:11:00.572985 IP 192.168.1.2.nms-dpnss > 192.168.1.20.43981: UDP, length 4
14:11:00.598870 IP 192.168.1.2.wlbs > 192.168.1.20.ms-sql-m: UDP, length 2
14:11:00.626630 IP 192.168.1.2.ppcontrol > 192.168.1.20.danf-ak2: UDP, length 4
14:11:00.653276 IP 192.168.1.2.jbroker > 192.168.1.20.talarian-mqs: UDP, length 4
14:11:00.679636 IP 192.168.1.2.spock > 192.168.1.20.32790: UDP, length 40
14:11:00.679924 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
14:11:00.712603 IP 192.168.1.2.jdatastore > 192.168.1.20.32786: UDP, length 40
14:11:00.712799 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
14:11:00.749758 IP 192.168.1.2.fjmpss > 192.168.1.20.dbref: UDP, length 4
14:11:00.769813 IP 192.168.1.2.fjappmgrbulk > 192.168.1.20.ssdp: UDP, length 4
14:11:00.796045 IP 192.168.1.2.metastorm > 192.168.1.20.1009: UDP, length 4
14:11:00.824629 IP 192.168.1.2.citrixima > 192.168.1.20.32788: UDP, length 40
14:11:00.824782 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
14:11:00.853770 IP 192.168.1.2.citrixadmin > 192.168.1.20.ssc-agent: UDP, length 16
14:11:00.884203 IP 192.168.1.2.facsys-ntp > 192.168.1.20.32785: UDP, length 40
14:11:00.884654 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
14:11:00.913875 IP 192.168.1.2.facsys-router > 192.168.1.20.sunrpc: UDP, length 4
14:11:00.937807 IP 192.168.1.2.maincontrol > 192.168.1.20.4469: UDP, length 4
14:11:00.965590 IP 192.168.1.2.call-sig-trans > 192.168.1.20.apc-2161: UDP, length 4
14:11:00.993553 IP 192.168.1.2.willy > 192.168.1.20.4045: UDP, length 4
14:11:01.017756 IP 192.168.1.2.globmsgsvc > 192.168.1.20.filenet-pch: UDP, length 40
14:11:01.045610 IP 192.168.1.2.pvsw > 192.168.1.20.activesync: UDP, length 4
14:11:01.072888 IP 192.168.1.2.adaptecmgr > 192.168.1.20.32776: UDP, length 40
14:11:01.096619 IP 192.168.1.2.windb > 192.168.1.20.pcanywherestat: UDP, length 2
14:11:01.122007 IP 192.168.1.2.qke-llc-v3 > 192.168.1.20.polestar: UDP, length 4
14:11:01.149718 IP 192.168.1.2.optiwave-lm > 192.168.1.20.domain: 3+ TXT CHAOS? version.bind. (30)
14:11:01.176570 IP 192.168.1.2.ms-v-worlds > 192.168.1.20.filenet-rmi: UDP, length 40
14:11:01.204302 IP 192.168.1.2.ema-sent-lm > 192.168.1.20.filenet-rpc: UDP, length 4
14:11:01.228073 IP 192.168.1.2.iqserver > 192.168.1.20.1028: UDP, length 4
14:11:01.259726 IP 192.168.1.2.ncr_ccl > 192.168.1.20.bbars: UDP, length 4
14:11:01.283555 IP 192.168.1.2.utsftp > 192.168.1.20.echo: UDP, length 4
14:11:01.307668 IP 192.168.1.2.vrcommerce > 192.168.1.20.syslog: [|syslog]
14:11:01.336699 IP 192.168.1.2.ito-e-gui > 192.168.1.20.filenet-pa: UDP, length 40
14:11:01.361500 IP 192.168.1.2.ovtopmd > 192.168.1.20.lotusnote: UDP, length 4
14:11:01.386916 IP 192.168.1.2.snifferserver > 192.168.1.20.32783: UDP, length 40
14:11:01.415569 IP 192.168.1.2.combox-web-acc > 192.168.1.20.32780: UDP, length 40
14:11:01.442282 IP 192.168.1.2.madcap > 192.168.1.20.globe: UDP, length 4
14:11:01.469047 IP 192.168.1.2.btpp2audctr1 > 192.168.1.20.filenet-nch: UDP, length 40
14:11:01.469580 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
14:11:01.496786 IP 192.168.1.2.upgrade > 192.168.1.20.tftp: 22 RRQ "network-confg" octet
14:11:01.525748 IP 192.168.1.2.vnwk-prapi > 192.168.1.20.iad1: UDP, length 4
14:11:01.550182 arp who-has 192.168.1.2 tell 192.168.1.20
14:11:01.550531 arp reply 192.168.1.2 is-at 00:1c:23:f7:3e:ba (oui Unknown)
14:11:01.555649 IP 192.168.1.2.vsiadmin > 192.168.1.20.discard: UDP, length 4
14:11:01.585667 IP 192.168.1.2.lonworks > 192.168.1.20.bootpc: BOOTP/DHCP, unknown (0x0d), length: 4
14:11:01.609890 IP 192.168.1.2.lonworks2 > 192.168.1.20.pcanywheredata: UDP, length 4
14:11:01.637555 IP 192.168.1.2.davinci > 192.168.1.20.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
14:11:01.663465 IP 192.168.1.2.reftek > 192.168.1.20.4296: UDP, length 4
14:11:01.689559 IP 192.168.1.2.novell-zen > 192.168.1.20.ff-sm: UDP, length 4
14:11:01.715756 IP 192.168.1.2.sis-emt > 192.168.1.20.32777: UDP, length 40
14:11:01.746458 IP 192.168.1.2.vytalvaultbrtp > 192.168.1.20.sitaradir: UDP, length 4
14:11:01.774416 IP 192.168.1.2.vytalvaultvsmp > 192.168.1.20.32782: UDP, length 40
14:11:01.819494 IP 192.168.1.2.vytalvaultpipe > 192.168.1.20.32778: UDP, length 40
14:11:01.829997 IP 192.168.1.2.ipass > 192.168.1.20.32787: UDP, length 40
14:11:01.857506 IP 192.168.1.2.ads > 192.168.1.20.ams: UDP, length 4
14:11:01.882629 IP 192.168.1.2.isg-uda-server > 192.168.1.20.256: UDP, length 4
14:11:01.909488 IP 192.168.1.2.call-logging > 192.168.1.20.32779: UDP, length 40
14:11:01.937996 IP 192.168.1.2.efidiningport > 192.168.1.20.32784: UDP, length 40
14:11:01.965825 IP 192.168.1.2.vcnet-link-v10 > 192.168.1.20.filenet-tms: UDP, length 4
14:11:01.990378 IP 192.168.1.2.compaq-wcp > 192.168.1.20.netbios-dgm: NBT UDP PACKET(138)
14:11:02.020435 IP 192.168.1.2.nicetec-nmsvc > 192.168.1.20.32781: UDP, length 40
14:11:02.047928 IP 192.168.1.2.nicetec-mgmt > 192.168.1.20.osu-nms: UDP, length 4
14:11:02.073907 IP 192.168.1.2.pclemultimedia > 192.168.1.20.h2gf-w-2m: UDP, length 4
14:11:02.102397 IP 192.168.1.2.lstp > 192.168.1.20.unisql: UDP, length 4
14:11:02.126254 IP 192.168.1.2.labrat > 192.168.1.20.isakmp: [|isakmp]
14:11:02.154484 IP 192.168.1.2.mosaixcc > 192.168.1.20.32789: UDP, length 40
14:11:02.179714 IP 192.168.1.2.delibo > 192.168.1.20.nim: UDP, length 4
14:11:02.213721 IP 192.168.1.2.cti-redwood > 192.168.1.20.4156: UDP, length 4
14:11:02.231344 IP 192.168.1.2.2564 > 192.168.1.20.1027: UDP, length 4
14:11:02.256112 IP 192.168.1.2.coord-svr > 192.168.1.20.vat: udp/vat 4294967292 c3338 0 f10 s13
14:11:02.277005 IP 192.168.1.2.pcs-pcw > 192.168.1.20.radius-acct: [|radius]
14:11:02.303575 IP 192.168.1.2.clp > 192.168.1.20.router: RIPv1, Request, length: 24
14:11:02.328468 IP 192.168.1.2.spamtrap > 192.168.1.20.31337: UDP, length 18
14:11:02.357526 IP 192.168.1.2.sonuscallsig > 192.168.1.20.filenet-cm: UDP, length 40
14:11:02.389507 IP 192.168.1.2.hs-port > 192.168.1.20.blackjack: UDP, length 4
14:11:02.405923 IP 192.168.1.2.cecsvc > 192.168.1.20.openport: UDP, length 4
14:11:02.428472 IP 192.168.1.2.ibp > 192.168.1.20.mxxrlogin: UDP, length 4
14:11:02.457357 IP 192.168.1.2.trustestablish > 192.168.1.20.cpq-wbem: UDP, length 4
14:11:02.486534 IP 192.168.1.2.blockade-bpsp > 192.168.1.20.ias-reg: UDP, length 2
14:11:02.514836 IP 192.168.1.2.hl7 > 192.168.1.20.bootps: BOOTP/DHCP, unknown (0x0d), length: 4
14:11:02.536979 IP 192.168.1.2.tclprodebugger > 192.168.1.20.netinfo-local: UDP, length 4
14:11:02.558625 IP 192.168.1.2.scipticslsrvr > 192.168.1.20.prospero: UDP, length 116
14:11:02.559464 IP 192.168.1.20 > 192.168.1.2: ICMP host 192.168.1.20 unreachable - admin prohibited, length 152
14:11:02.588107 IP 192.168.1.2.rvs-isdn-dcp > 192.168.1.20.radius: [|radius]
14:11:02.616354 IP 192.168.1.2.mpfoncl > 192.168.1.20.nfs: UDP, length 4
14:11:02.644666 IP 192.168.1.2.tributary > 192.168.1.20.datametrics: [|radius]
14:11:02.679295 IP 192.168.1.2.argis-te > 192.168.1.20.ntp: NTPv1, Client, length 48

em thấy có 1 số đặc điểm như sau:

ICMP echo request, id 512, seq 12, length 32
ICMP echo reply, id 512, seq 12, length 32
UDP: length: 2 - 116
ICMP host 192.168.1.20 unreachable - admin prohibited, length 76
ICMP host 192.168.1.20 unreachable - admin prohibited, length 152

và 1 số cái không biết

14:10:56.556333 IP 192.168.1.20.49137 > 192.168.1.1.domain: 61456+ PTR? 20.1.168.192.in-addr.arpa. (43)
14:10:56.578349 IP 192.168.1.1.domain > 192.168.1.20.49137: 61456 NXDomain* 0/1/0 (105)
14:10:56.579941 IP 192.168.1.20.54892 > 192.168.1.1.domain: 37743+ PTR? 2.1.168.192.in-addr.arpa. (42)
14:10:56.598222 IP 192.168.1.1.domain > 192.168.1.20.54892: 37743 NXDomain* 0/1/0 (104)
14:10:56.599839 IP 192.168.1.20.55980 > 192.168.1.1.domain: 23601+ PTR? 1.1.168.192.in-addr.arpa. (42)
14:10:56.621413 IP 192.168.1.1.domain > 192.168.1.20.55980: 23601 NXDomain* 0/1/0 (104)
14:10:59.691167 arp who-has 192.168.1.20 tell 192.168.1.1
14:10:59.691534 arp reply 192.168.1.20 is-at 00:0c:29:0c:54:48 (oui Unknown)
14:11:00.470675 IP 192.168.1.2.2499 > 192.168.1.20.sa-msg-port: [|radius]
14:11:00.495897 IP 192.168.1.2.rtsserv > 192.168.1.20.snmp: [1 extra after iSEQ]GetNextRequest(18) .iso.org

hình như cái supperscan của em bị hư, em không thấy thông tin gì trong file scanlog.txt. nhờ anh conmale phân tích dùm

vâng chính xác là em đang tìm hiểu các kiểu tấn công và sau đó dùng iptables để ngăn chặn các tấn công đó. Nhưng em vẫn chưa tìm được cách giả lập các cuộc tấn công đó. Em có thử superscan4, và nemesy13 mà chưa tìm ra hướng chặn
"đơn giản" là vì đây là demo cho giáo viên xem nên đơn giản, dễ hiểu để khỏi bị bắt smilie

àh em xin lỗi nói không rõ. ý em là anh có thể gợi ý các cuộc tấn công đơn giản mà snort cảnh báo và iptables có thể ngăn chặn. Em đang nghiên cứu khi snort cảnh báo thì iptables ngăn chặn nhưng em không biết nhiều về các cuộc tấn công.

cám ơn anh!!!
thầy em kêu tạo khoảng 10 rule iptables ngăn chặn tấn công. Anh gợi ý cho em vài rule với.

iptables hoạt động ở lớp 3,4,5 của mô hình OSI. Vậy sao String match trong iptables, có thể lọc phần nội dung của gói tin? (câu này ông thầy hỏi smilie

)

em thấy có một số tài liệu phân loại firewall theo cơ chế như sau: Packet filtering firewall, stateful Inspection firewall và application layer gateway. không biết phân loại thế này có đúng không?
iptables thuộc dạng nào và hoạt động ở lớp nào của mô hình OSI?

câu hỏi đó là lâu rồi, giờ nghiên cứu iptables chứ không phải ipcop nữa nhưng em thấy nghĩ lại cái stateful với stateless thôi. Cám ơn anh em sẽ nghiên cứu thử

em nghĩ ipcop là firewall sử dụng giao diện web nhưng các tính năng của iptables và ipcop khá giống nhau.
về stateful thì trong một cuốn sách có nói thế này

Stateful firewalls allow more advanced packet processing that involve tracking connections and other state, such as keeping track of recent activity by host or connection (such as the iplimit, limit, and recent match extensions)

em tạm dịch:
các firewall stateful cho phép quá trình xử lý gói cao hơn bao gồm theo dõi các kết nối và các trạng thái khác, như là theo dõi các hoạt động bởi các host hoặc kết nối(...)
chắc em dịch không đúng nên em vẫn chưa hình dung ra nó như thế nào smilie

xin lỗi anh conmale cho em hỏi 1 câu ngoài lề. lần trước cô em hỏi là chức năng nào của ipcop là stateful. Giờ thấy iptables có cả stateful và stateless nhưng vẫn chưa hiểu là như thế nào?anh giúp em với

cám ơn anh conmale đã hướng dẫn cụ thể. Chắc em bị tẩu hoả thật rồi. Dường như em không đọc một câu 1 cách chính xác.
Do em quá tập trung vào cái rule trong list rule iptables như sau:

tcp dpt: !http flags: FIN,SYN,RST,ACK/SYN

rồi sau đó trong đầu nghĩ nhầm là cái SYN,RST,ACK là cần match, tiếp đó là trả lời sau câu hỏi. Chắc cần phải tập đọc 1 cái gì đó một cách cẩn thận mới được smilie

Nếu em ấn định luật: iptables -A INPUT -p tcp --tcp-flags ALL SYN -m length --length 128:300 -j DROP
điều này có nghĩa là gì? Nó có nghĩa là bất cứ TCP packet nào đi vào mà có SYN flag set và có chiều dài khoảng từ 128 đến 300 thì DROP. Phải không nào?

Thứ nhất, nếu em áp đặt một luật như thế (khoan tính đến đoạn -m length), em vô tình block hết tất cả các request muốn kết nối với dịch vụ trên máy chủ ấy (vì em DROP hết SYN packet). Đây là một luật cực kỳ dại dột nếu như trên máy chủ của em có mở dịch vụ nào đó.

Thứ nhì, một SYN packet có chiều dài (length) là bao nhiêu? Nếu em buộc iptables DROP các SYN packets có chiều dài từ 128 đến 300 liệu có chuyện gì xảy ra không? Câu trả lời là KHÔNG vì trên thực tế chẳng bao giờ có cú SYN nào mà... vĩ đại đến như vậy smilie .

thực ra ý định của em là chặn gói tin có tcp match SYN và có length của ICMP hay UDP từ 128:300. post rồi ngồi nghĩ lại thấy nếu để length thế là của TCP. Định vô xoá rule mà anh trả lời nhanh quá smilie

iptables -A INPUT -p tcp --syn ! --dport 80 -j DROP (--syn tương đương với --tcp-flags SYN,RST,ACK SYN)

chiều có xem --syn mà không biết áp dụng smilie

. Hình như rule trên sẽ drop các gói tcp có flag SYN,RST,ACK SYN mà dport khác http?
Nhưng cái test nó chỉ có SYN và ACK nhưng không có RST, vậy rule này hình như không chặn được

hix anh trả lời lẹ quá

iptables có option -p cho các protocol khác nhau. Tại sao cho TCP, UDP và ICMP lại gom vô một rule mà không phải là 3 rules hay 30 rules?

do em không biết viết như thế nào để iptables hiểu được rằng 3 rule đó là của nmap chứ không phải từng rule khác biệt

Dòng lệnh trên có tác dụng gì cho UDP và ICMP không?

đúng là dòng lệnh trên không có tác dụng với UDP và ICMP. Do chú trọng tới length icmp với UDP nên rule này bị sai

Nếu em chưa hiểu những cái căn bản này thì không nên đi quá nhanh và quá sâu vào chuyện phân tích nmap packets để tạo iptables rules vì em sẽ bị.... "tẩu hoả nhập ma" đó.

chắc bị tầu hoả thiệt rùi smilie

. Cám ơn anh conmale nhiều

hì không phải dừng mà là suy nghĩ chưa được rule smilie

. nếu chặn theo 3 protocol thì em không biết thế nào có thể gộp 3 cái lại được nên thử như thế này. Do icmp echo có length 128,158 và udp có length:300. nên em thử như vầy

iptables -A INPUT -p tcp --tcp-flags ALL SYN -m length --length 128:300 -j DROP

hình như không chặn được vẫn chạy ào ào smilie

hix!!! anh không nhắc em cũng quên mất
-p protocol trong trường hợp này thì TCP, ICMP, UDP

Khi mình nói đến SYN và ACK mình nói đến cái gì?

SYN và ACK thường dùng TCP bắt tay 3 bước. Có thể bắt qua cờ flag

kiểm tra các gói tcp có cờ flag trùng với SYN,ICMP,UDP,ACK nên viết thử rule như thế này:

iptables -A INPUT -p tcp --tcp-flags ALL SYN,ICMP,UDP,ACK -j DROP

không biết đúng không smilie

em nghĩ có thể chặn các gói có SYN,ACK,ICMP,UDP.

tương tự như lần thứ nhất lần này cũng có:
- 2 SYN đến cổng 80:
21:54:27.020876 IP conmale-box.61030 > target-box.http: S 97280883:97280883(0) win 4096 <mss 1460>
21:54:29.102932 IP conmale-box.61031 > target-box.http: S 97346418:97346418(0) win 1024 <mss 1460>

- 4 SYN đến cổng 41087:
21:54:31.187542 IP conmale-box.61268 > target-box. 41087: S 1610921230:1610921230(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
21:54:31.491034 IP conmale-box.61268 > target-box. 41087: S 1610921230:1610921230(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
21:54:31.798971 IP conmale-box.61268 > target-box. 41087: S 1610921230:1610921230(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
21:54:32.105059 IP conmale-box.61268 > target-box. 41087: S 1610921230:1610921230(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>

- 8 ICMP echo requests có length là 128 tiếp theo sau là 158
21:54:31.012124 IP conmale-box > target-box: ICMP echo request, id 27845, seq 295, length 128
21:54:31.037076 IP conmale-box > target-box: ICMP echo request, id 27845, seq 296, length 158
21:54:31.352040 IP conmale-box > target-box: ICMP echo request, id 27845, seq 295, length 128
21:54:31.367356 IP conmale-box > target-box: ICMP echo request, id 27845, seq 296, length 158
21:54:31.649500 IP conmale-box > target-box: ICMP echo request, id 27845, seq 295, length 128
21:54:31.677090 IP conmale-box > target-box: ICMP echo request, id 27845, seq 296, length 158
21:54:31.959076 IP conmale-box > target-box: ICMP echo request, id 27845, seq 295, length 128
21:54:31.983090 IP conmale-box > target-box: ICMP echo request, id 27845, seq 296, length 158

- 4 UDP requests đến cổng 34627:
21:54:31.059338 IP conmale-box.61279 > target-box.34627: UDP, length 300
21:54:31.393295 IP conmale-box.61279 > target-box.34627: UDP, length 300
21:54:31.701298 IP conmale-box.61279 > target-box.34627: UDP, length 300
21:54:32.007443 IP conmale-box.61279 > target-box.34627: UDP, length 300

- 4 ACK đến cổng 41087:
21:54:31.211027 IP conmale-box.61269 > target-box. 41087: . ack 1913404937 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
21:54:31.532919 IP conmale-box.61269 > target-box. 41087: . ack 1 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
21:54:31.837012 IP conmale-box.61269 > target-box. 41087: . ack 1 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
21:54:32.137125 IP conmale-box.61269 > target-box. 41087: . ack 1 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>

trong lần 2 các gói được gởi tới cũng tương tự lần thứ nhất nhưng đến những cổng khác

trong phần target-box em thấy có ghi 3 dấu hiệu khác nhau
1. có lẽ là từ conmale-box tới target-box thông qua dịch vụ http

20:37:19.533838 IP conmale-box.34550 > target-box.http: S 3409471974:3409471974(0) win 4096 <mss 1460>
20:37:21.623581 IP conmale-box.34551 > target-box.http: S 3409537511:3409537511(0) win 2048 <mss 1460>
20:37:23.545737 IP conmale-box > target-box: ICMP echo request, id 4775, seq 295, length 128
20:37:23.567583 IP conmale-box > target-box: ICMP echo request, id 4776, seq 296, length 158

2. gửi gói UDP length 300

20:37:23.592164 IP conmale-box.34667 > target-box.35518: UDP, length 300

3. và một cái qua port 42871

20:37:23.717619 IP conmale-box.34663 > target-box.42871: S 1112917468:1112917468(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
20:37:23.743778 IP conmale-box.34664 > target-box.42871: . ack 1759882302 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
20:37:23.884231 IP conmale-box > target-box: ICMP echo request, id 4775, seq 295, length 128
20:37:23.907791 IP conmale-box > target-box: ICMP echo request, id 4776, seq 296, length 158

nhưng hok hiểu lắm smilie

dzị nữa kia không hiểu rùi, nhờ anh giải thích giúp

em nghĩ một số cổng thường mở là: 80,443, 139,445,21,22,25,110 không biết có đúng ý anh không?

cám ơn anh conmale!! phiền anh thêm chút nữa smilie

. Em đang tìm cách chặn nmap nhưng vẫn chưa chặn được nhờ anh giúp em chút.
Em vào trang nmap và xem

SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags <flags>: Customize TCP scan flags
-sI <zombie host[:probeport]>: Idle scan
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
-sO: IP protocol scan
-b <FTP relay host>: FTP bounce scan

và tìm được một số hướng dẫn tạo rule chặn nmap, nhưng hình như không hoạt động

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP // Force SYN packets check
iptables -A INPUT -f -j DROP //Force Fragments packets check
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP //XMAS packets
iptables -A INPIT -p tcp --tcp-flags ALL NONE -j DROP // Drop all NULL packets

và test như sau:

# nmap -v -f FIREWALL-IP
# nmap -v -sX FIREWALL-IP
# nmap -v -sN FIREWALL-IP
# hping2 -X FIREWALL-IP

nếu em muốn test nmap với các option: -sS, -sX, -sN thì phải dựa vào đặc điểm nào vậy anh?

@anh conmale:

Tại sao có chain name là "RH-Firewall-1-INPUT 1" ?

em sử dụng iptables trên Centos.trên Centos có sẵn rule cho iptables, trong 3 chain INPUT,OUTPUT,FORWARD đều có 1 rule có target là RH-Firewall-1-INPUT 1, nên em nghĩ tất cà rule đều được chuyển đến chain RH-Firewall-1-INPUT 1.
[qoute]Em truy cập từ PC nào đến web server 172.16.1.100? PC đó có IP gì?
em truy cập từ iptables luôn có ip 172.16.1.1

Em có hiểu rằng "string match" cho một tcp packet không phải lúc nào cũng match không?

tại sao vậy anh? vậy iptables có thể chặn nmap,dos không anh?
@rongdennt: cám ơn anh!!! em đang nghiên cứu iptables, chỉ đơn giản dùng iptables để chặn các dấu hiệu, sau này nếu nghiên cứu sâu hơn em sẽ nghiên cứu soft, em thấy ai cũng bảo dùng mod_security nên cũng hơi tò mò smilie

cám ơn anh conmale!!! hiện tại em đang nghiên cứu iptables + snort. iptables vẫn chưa hiểu lắm nên tạo rule chạy thử xem hoạt động như thế nào, cuối cùng rule cũng hok chạy lun smilie

.
sơ đồ em có 2 pc, (PC1)IPTabes(172.16.1.1)------------(172.16.1.100)webserver(PC2)
ngồi trên PC1 truy cập web nội bộ rất tốt
em tạo rule bắt ký tự truy cập khi PC1 truy cập web nên tạo rule như sau

iptables -I RH-Firewall-1-INPUT 1 -p tcp -m string --string "aaa" --algo bm -j LOG

rule này có log, nên em thử thêm ip vào

iptables -I RH-Firewall-1-INPUT 1 -p tcp -s 172.16.1.1 -d 172.16.1.100 -m string --string "aaa" --algo bm -j LOG

rule này không có trong log, và em thử bằng cách chuyển ip dest thành PC1 thì thấy log

iptables -I RH-Firewall-1-INPUT 1 -p tcp -d 172.16.1.1 -m string --string "aaa" --algo bm -j LOG

em cũng thử thêm port vào nhưng vẫn không được, càng ngày càng mơ hồ. Mong mọi người giúp em

xin lỗi anh conmale
em có một rule iptables như vầy

iptables -A INPUT -p icmp --icmp-type ping -m length --length 1000: -j DROP

và snort có rule như thế này

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Large ICMP Packet"; dsize:>1000; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4

sau đó em dùng pc để ping vào card của snort + iptables bằng lệnh

ping -l 2000 172.16.1.1 -t

dù kết quả trả về là request time out, nhưng bên log của snort vẫn cảnh báo có dấu hiệu ICMP Large ICMP Packet
Như vậy, đã chặn được dấu hiệu chưa?

các anh cho em hỏi, em tạo rule cho iptables để chặn các gói có số byte lớn:

iptables -A INPUT -j icmp -m length --length 1000: -j DROP

mặc dù ping không được nữa nhưng snort vẫn báo, như vậy là vẫn chưa chặn được hay sao?

cám ơn anh đã góp ý, em sẽ xem lại

ah!! thực ra là em có 1 web server, trang web em cấu hình để bắt lỗi sql ịnection hoạt động tốt.và có firewall iptables trên centos, em muốn bắt ký tự " ' " bằng iptables,
em test bằng cách ngối trên centos truy vào trang web của web server rùi gõ vào dấu hiệu
nhưng dùng dấu hiệu "%27" thì không bắt được, nên dùng "aaa" để thử có bắt được dấu hiệu không. tối qua ngồi mò thì thấy khi bỏ đi cái --dport thì nó hoạt động được