[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet
Alejandro Santos
listas at alejolp.com
Wed Oct 13 01:40:15 BST 2010
2010/10/12 Mariano Reingart <reingart at gmail.com>:
> 2010/10/12 Marcelo Fernandez <marcelo.fidel.fernandez at gmail.com>:
>>
>> Estaría bien esta solución también, el tema es que esto es stateless
>> (sin estado), y podés dejar conexiones abiertas más tiempo de lo
>> necesario (no siempre se cierran con FIN, y podés tirar un RST "de
>> verdad" que era necesario que vaya a la conexión). Otro efecto de
>> deshabilitar los RST de esta manera es si un sitio está caído o tiene
>> el puerto cerrado el navegador va a quedar "esperando respuesta...."
>> unos minutos (hasta que expire el timeout de recepción TCP).
>
> ¿Solo las establecidas será mejor?
>
> sudo iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state
> ESTABLISHED --source-port 80 -j DROP
>
> Debería mitigar un poco más los inconvenientes.
>
> Debe haber alguna solución con iptables y/o netfilter...
>
Pucha.. me ganaron de mano con iptables, hoy en el laburo pensaba
hacer algo asi.
Hammer of Thor levanta un timer de 0.33 segundos para esperar el
cierre de conexion. Pasado ese limite, un cierre lo considera normal.
Usando iptables se puede usar la combinacion de los modulos state y
recent para hacer algo al estilo Thor (en tan solo 2 lineas de bash!
:O):
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -m recent
--set --name thor --rdest -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flag RST RST -m state --state
ESTABLISHED -m recent --name thor --rcheck --rsource --seconds 1 -j
DROP
Con eso se detectan paquetes RST que estan dentro de 1 segundo desde
que se inició la conexion. Pareceria que funciona ;D
Como dijo Mariano, este problema tiene todo el color a un RST attack.
http://en.wikipedia.org/wiki/TCP_reset_attack
Saludos,
--
Alejandro Santos
http://alejolp.com.ar
More information about the Ubuntu-ar
mailing list