(এসও থেকে সরানো)
আমার কাছে আইপটেবল রয়েছে একটি সিপ সার্ভার রক্ষা করা। আমি বিশেষভাবে খোলার বিষয়গুলি বাদে এটি সমস্ত আইপিগুলি অবরুদ্ধ করে এবং এটি প্রায় প্রত্যেকের জন্যই কাজ করে বলে মনে হয়। আমি প্রচুর আইপি অ্যাড্রেসগুলি পরীক্ষা করেছি যা সাদা তালিকাভুক্ত নয় এবং সেগুলি তাদের যেমন করা উচিত তেমনি বাদ দেওয়া হবে।
কিন্তু, আমি এমন একটি "হ্যাকার" বাছাই করেছি যিনি মনে করেন iptables নিয়মগুলি বাইপাস করতে সক্ষম হয়েছেন। তাঁর তদন্তকারী আমন্ত্রণগুলি এটিকে তৈরি করে এবং কীভাবে বা কীভাবে এটি সম্ভব হয়েছিল তাও আমার কোনও ধারণা নেই। 10 বছরে আমি এর আগে দেখিনি।
আমি মনে করি এটি অবশ্যই আমার করা কিছু ছিল তবে আমি এটি দেখতে পাচ্ছি না।
iptables এর মতো তৈরি করা হয়েছে (MYIP উপরের সংজ্ঞায়িত - redacted):
iptables -F
iptables -X
iptables -N ALLOWEDSIP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -d $MYIP --dport 22 -j ACCEPT
iptables -t filter -A INPUT -j ALLOWEDSIP
# This is my white list.
iptables -A ALLOWEDSIP -j RETURN
এখন, ALLOWEDSIP তে কিছুই না করে, আমার যা করতে হবে তা হ'ল এসএসএইচ (যা আমি পারি) is আমি যদি এটির জন্য কল নিক্ষেপ করি তবে সেগুলি সমস্ত নামিয়ে দেওয়া হবে। তবে ওয়্যারশার্ক আমাকে এটি দেখায় (আমার আইপি পুনর্নির্মাণ):
89.163.146.25 -> x.x.x.x SIP/SDP 805 Request: INVITE sip:521088972597572280@x.x.x.x |
x.x.x.x -> 89.163.146.25 SIP 417 Status: 100 Giving a try |
x.x.x.x -> 89.163.146.25 SIP 875 Status: 407 Proxy Authentication Required |
তার কলগুলি আমার স্যুইচকে আঘাত করে এবং এসিএল দ্বারা চূড়ান্তভাবে প্রত্যাখ্যান করা হলেও সেগুলি কখনই সেখানে পাওয়া উচিত নয়। আর কিছুই পায় না। আমার চুল বাইরে টানছে। কেউ জানেন?
কেবল সম্পূর্ণতার জন্য, এখানে iptables -L এর ফলাফল:
# iptables -L --line-numbers -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 10 640 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
2 0 0 ACCEPT all -- lo any anywhere anywhere
3 0 0 ACCEPT tcp -- any any anywhere <redacted>.com tcp dpt:6928
4 0 0 ALLOWEDSIP all -- any any anywhere anywhere
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 6 packets, 544 bytes)
num pkts bytes target prot opt in out source destination
Chain ALLOWEDSIP (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 RETURN all -- any any anywhere anywhere
সম্পাদনা: সবেমাত্র এটি ওয়্যারশার্ক থেকে দেখেছি। তারা কি অন্য কোনও উপায়ে প্রতিষ্ঠিত হওয়ার পরে প্রতিষ্ঠিত নিয়মে খেলার মতো ভয়ঙ্কর কিছু করতে পারে? তারা কি কোনও গর্তের সাথে খেলছে?
89.163.146.25 -> <redacted> RTCP 806 Source port: tag-pm Destination port: sip
সম্পাদনা 2: ইউডিপি এখানে মূল কী। যখন আমি কেবল টিসিপি শোনার জন্য ওপেনস্পিটস সেট করি তখন সমস্যাটি সরে যায় বলে মনে হয়। তাদের "টিগ-পিএম" বার্তা প্রেরণ করা হলেও তাদের প্রয়াসগুলির আর কোনওটিই আর পায় না। যদিও প্যাকেটগুলি এমনকি খোলার জন্য কেন তা ব্যাখ্যা করে না। iptables তাদের প্রথমে থামানো উচিত ছিল। আমি এখানে কী ভুল করেছি তা জানতে আগ্রহী।
সম্পাদনা 3: আমি যদি সম্পর্কিত থেকে সরিয়ে ফেলি আমি তাদের জবাব দেওয়া বন্ধ করি, তাই এটির সাথে এটি করার কিছু। তবে আমি মনে করি আমার সম্পর্কিত থাকতে হবে। ওয়ার্কআরউন্ডের উপর কোনও টিপস?
RELATEDকরার চেষ্টা করুন -p icmp। হতে পারে এটি এটিকে সমাধান করে (বা আশেপাশে একটি উপযুক্ত কাজ যা আপনার কাছ থেকে কনট্র্যাক সহায়তাকারীদের সম্পর্কে পড়ার প্রয়োজন নেই)।
ESTABLISHEDইউডিপির পক্ষে কাজ করা উচিত। দেখে মনে হচ্ছে প্যাকেটটি প্রবাহিত হয়েছে এবং (বহির্গামী) অনুরোধের জবাব গ্রহণ করে। আপনার "হ্যাকার" এর কি স্থির আইপি রয়েছে? ;-) যদি তা হয় তবে চেক / প্রোক / নেট / এনএফ_কন্ট্র্যাক পরীক্ষা করুন যখন তারা বর্তমানে / সংযুক্ত / সংযুক্ত থাকে না তখন রাষ্ট্রীয় টেবিলটি তাদের সম্পর্কেRELATEDকী আছে তা দেখার জন্য ... আরও জটিল বিষয় ... এসআইপি-র জন্য এটি কী করে তা জানেন না । নাmodprobeহয়তো একটি ipt_sip মডিউল বা এমন কিছু বিষয় যা "ম্যাজিক" জিনিস করতে হবে লোড দেখাবেন?