tarpit - anti-scan software

Giorgos Keramidas keramida at freebsd.org
Sun Mar 30 22:00:02 EEST 2003


On 2003-03-29 19:31, Alexandros Papadopoulos <apapadop at cmu.edu> wrote:
>On Saturday 29 March 2003 18:45, Giorgos Keramidas wrote:
>> Για τα port scans που δείχνουν ακόμα και τα κλειστά ports σαν
>> ανοιχτά, τι προτείνεις;
>
> Λοιπόν σκέφτηκα μια *ελαφρώς* [0] μπακαλίστικη λύση, την οποία και κάνω
> attach. Έχει ένα-δυο μικροπροβληματάκια (πχ KAI το desired effect δεν
> έχει - μιας και τα ports φαίνονται filtered και όχι open - KAI το
> έγκλημα του να τρέχει 200 netcat ο root διαπράττει), αλλά ίσως να
> μπορούσε να βγει κάτι χρήσιμο από αυτό...
>
> Tο πρόβλημα του ότι φαίνονται filtered τα ports πρέπει να φτιάχνεται με
> το CONFIG_IP_NF_TARGET_REJECT.

Τα ports φαίνονται 'filtered' γιατί το nmap δεν παίρνει καμία απάντηση
στα SYN πακέτα που στέλνει.  Η κανονική συμπεριφορά του TCP είναι να
στέλνεται ένα πακέτο με το RST flag για τα ports στα οποία δεν ακούει
κάποιο πρόγραμμα.  Το nmap δεν μπορεί να ξέρει αν το πακέτο χάθηκε στη
διαδρομή ή το έκοψε κάποιο firewall και υποθέτει ότι το δεύτερο είναι
πιο πιθανό.

Ένας τρόπος να φαίνονται κλειστά από κάποιο interface ακόμα και ports
που τρέχεις services για το τοπικό δίκτυο είναι να μην κάνεις DROP τα
πακέτα με SYN αλλά REJECT και να κάνεις DROP μόνο όλα τα άλλα:

	iptables -P INPUT DROP
	iptables -A INPUT -p tcp --syn -j REJECT --reject-with tcp-reset

Αυτό είναι το ανάποδο από το portsentry που έλεγα πριν όμως.

- Γιώργος




More information about the Linux-greek-users mailing list