Рейтинг:0

Смягчение атаки сброса TCP через iptables

флаг mx

Похоже, я стал жертвой атак сброса TCP с целью помешать мне загружать определенные данные. Я знаю, что это так на данном этапе.

В настоящее время я нахожусь в отеле, поэтому у меня нет доступа к брандмауэру маршрутизатора, но мой вопрос: можно ли предотвратить атаки в стиле сброса TCP через iptables?

Я попытался заблокировать пакеты RST (и FIN) с помощью iptables следующим образом:

iptables -I OUTPUT -p tcp --tcp-flags ALL RST -j DROP iptables -I INPUT -p tcp --tcp-flags ALL RST -j DROP (то же самое для пакетов FIN)

Тем не менее, злоумышленник по-прежнему может разорвать соединение - из анализа wirehark я вижу, что пакет RST все еще был отправлен с моего IP-адреса на сервер. Я не понимаю, почему он отправил бы это, учитывая настройки iptables.

Не сможет ли злоумышленник, подключенный к той же локальной сети, отправить пакет RST на сервер и разорвать мое соединение? В этом случае, я думаю, мне понадобится контроль над сетевым брандмауэром, чего у меня сейчас нет.

VPN не предотвращает атаку — предположительно, потому что злоумышленник знает, какой сервер я использую.

Я также хочу отметить, что я использую qubes, при этом весь интернет-трафик проходит через sys-net qube, где активны правила iptables.

То, что я ищу, - это способ смягчить эти виды атак, даже при использовании брандмауэра и блокировке этих пакетов кажется, что соединение все еще может быть прервано решительным злоумышленником, с небольшим количеством доказательств с моей стороны от wireshark - я полагаю они сами отправляют пакеты на сервер с моим поддельным ip.

anx avatar
флаг fr
anx
Пожалуйста, уточните свой вопрос, чтобы объяснить, что именно вы пытаетесь сделать, и почему ваш ответ не просто «использовать VPN». Ваш восходящий интернет-канал решает, какие TCP-соединения маршрутизировать, а какие отбрасывать, и ваш локальный брандмауэр ничего не может с этим поделать. Вам нужно использовать VPN, чтобы ваши соединения происходили из места, которое не мешает вашим соединениям.Если вы считаете, что используете VPN, а локальный маршрутизатор все еще может надежно и выборочно отбрасывать определенные адресаты, что-то не так с вашей конфигурацией VPN.
A.B avatar
флаг cl
A.B
Также случаем, когда TCP RST является симптомом, а не атакой, является случай, когда два узла в одной сети по ошибке используют один и тот же IP-адрес, но тогда это повлияет не только на TCP. В Linux вы можете проверить с помощью команды arping в режиме DAD (-D) (с обеих сторон)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.