Tcpdump বাইপাস iptables?


48

আমি ভুল করে ওপেন রিসলভার ডিএনএস সার্ভার সেটআপ করেছি, যা শীঘ্রই রাশিয়া থেকে / কোথাও কোথাও পাওয়া ডিডিওএস আক্রমণগুলির জন্য ব্যবহৃত হয়েছিল। সেই কারণে আমি বিশ্বস্ত আইপি ছাড়া সকলের জন্য ডিএনএস উভয় সার্ভারে 53 পোর্টটি সম্পূর্ণরূপে অবরুদ্ধ করেছি। এটি কাজ করে, আমি তাদের সাথে আর সংযোগ করতে পারছি না, তবে আমার কাছে কী অদ্ভুত লাগে তা হ'ল আমি যখন ইথ 1 তে টিসিপিডম্প চালাই (যা পাবলিক ইন্টারনেটের সাথে সার্ভারে ইন্টারফেস) আমি আক্রমণকারী থেকে পোর্ট 53 এ প্রচুর আগত প্যাকেট দেখতে পাই।

আইপিটিবলগুলি সেগুলি ফেলে দিলেও কি এই सामान्य বিষয় যে tcpdump এই প্যাকেটগুলি প্রদর্শন করে? বা আমি iptables ভুল কনফিগার করেছি?

অন্যদিকে আমি আমার সার্ভার থেকে কোনও বহির্মুখী প্যাকেট দেখতে পাচ্ছি না যা আমি আগে করেছি, সুতরাং আমি অনুমান করি যে ফায়ারওয়াল কাজ করার মতো। এটি কেবল আমাকে অবাক করে দিয়েছিল যে কার্নেল পুরোপুরি প্যাকেট ফেলে না? বা tcpdumpকার্নেলের সাথে এমনভাবে আবদ্ধ করা হয়েছে যে এটি প্যাকেটগুলি iptables পাওয়ার আগেই দেখে?

উত্তর:


61

এটি একটি দুর্দান্ত প্রশ্ন।

বস্তুত হিসেবে tcpdump প্রথম সফ্টওয়্যার (এবং এনআইসি যদি আপনি হবে) টেলিগ্রাম পর দেখা পথে ইন , এবং পথে গত এক আউট

Wire -> NIC -> tcpdump -> netfilter/iptables

iptables -> tcpdump -> NIC -> Wire

এটি আপনার ইন্টারফেসে পৌঁছানো সমস্ত প্যাকেট এবং আপনার ইন্টারফেসটি রেখে সমস্ত প্যাকেট দেখতে পাবে। যেহেতু tcpdump দেখেছে 53 পোর্টের প্যাকেটগুলির কোনও উত্তর পাওয়া যায় না, আপনি সফলভাবে যাচাই করেছেন যে আপনার iptables বিধিগুলি সঠিকভাবে কনফিগার করা হয়েছে।

সম্পাদনা

সম্ভবত আমার কয়েকটি বিবরণ যুক্ত করা উচিত। tcpdump উপর ভিত্তি করে তৈরি libpcap , যা একটি সৃষ্টি একটি লাইব্রেরি প্যাকেট সকেট । নেটওয়ার্ক স্ট্যাকটিতে নিয়মিত প্যাকেট পাওয়া গেলে, কর্নেল প্রথমে নতুন প্যাকেটটিতে প্যাকেট সকেট আগ্রহী কিনা তা পরীক্ষা করে দেখুন এবং যদি সেখানে থাকে তবে এটি প্যাকেটটি সেই প্যাকেটের সকেটে ফরোয়ার্ড করে। যদি ETH_P_ALL বিকল্পটি চয়ন করা হয়, তবে সমস্ত প্রোটোকল প্যাকেট সকেটের মাধ্যমে যায়।

libpcap সক্রিয় বিকল্পের সাথে এই জাতীয় একটি প্যাকেট সকেট প্রয়োগ করে, নিজস্ব ব্যবহারের জন্য একটি অনুলিপি রাখে এবং প্যাকেটটি আবার নেটওয়ার্ক স্ট্যাকের উপর নকল করে, যেখানে এটি কার্নেল দ্বারা প্রক্রিয়াজাত করা হয়, নেটফিল্টারে প্রথমে পাঠানো সহ , কার্নেল iptables এর স্পেস কাউন্টার পার্ট । একই জিনিস, বিপরীতে ক্রম ( যেমন প্রথম নেটফিল্টার তারপর প্যাকেট সকেট মাধ্যমে প্যাসেজ শেষ), বেরিয়ে যাওয়ার পথে way

এই হ্যাকিং প্রবণ হয়? কিন্তু অবশ্যই. ফায়ারওয়ালগুলি তাদের উপর হাত রাখার আগে অবশ্যই রুটকিটের সাথে যোগাযোগ স্থাপনের জন্য libpcap ব্যবহার করে প্রুফ-অফ-কনসেপ্টের রুটকিট রয়েছে । এমনকি এই সাধারণ তুলনায় এই সরল গুগল ক্যোয়ারীও লিবপ্যাক্যাপ থেকে ট্র্যাফিক গোপন করে ওয়ার্কিং কোডটি সন্ধান করে । তবুও, বেশিরভাগ পেশাদাররা মনে করেন যে নেটওয়ার্ক প্যাকেট ফিল্টারগুলি ডিবাগ করার ক্ষেত্রে সুবিধাগুলি অসুবিধাগুলি ছাড়িয়ে যায় we


এটি প্রদর্শনের কোনও উপায় কি যাতে আমি দেখতে পাচ্ছি কোন প্যাকেটগুলি অনুমোদিত এবং কোনটি বাদ পড়েছে?
পেট্র

2
@ পেটার আপনি প্যাকেটগুলি লগ করতে পারেন যা iptables বাদ গেছে, thegeekstuff.com/2012/08/iptables-log-packets
মারিয়াসম্যাটুটিয়
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.