iptables21 Fwsnort: Application layer IDS/IPS with iptables Fwsnort parses the rules files included in the Snort intrusion detection system and builds an equivalent iptables ruleset for as many rules as possible. Fwsnort utilizes the iptables string match module (together with a custom patch that adds a --hex-string option to the iptables user space code which is now integrated with iptables) to detect application level attacks. Fwsnort 1.5 now is availa.. 2011. 1. 14. Conntrack 방지 방법 (ip_conntrack 제한값) 다음은 /var/log/messages 의 내용이다. Netfilter의 conntrack 하나당 228 byte가 필요하고 최대 32760개가 가능하다는 것이다. (약 10M) Oct 7 15:15:22 host kernel: ip_conntrack version 2.4 (4095 buckets, 32760 max) – 228 bytes per conntrack 만약 32760이 넘으면 어떻게 될까? 다음과 같이 패킷이 drop이 된다. Oct 7 15:16:42 host kernel: ip_conntrack: table full, dropping packet. 이런 문제는 웹 서버와 같이 동시에 수 많은 connection을 처리해야 하는 경우에 발생할 수 있고 ab와 같은 stress 발생기를 사용.. 2010. 6. 7. Linux : using iptables string-matching filter to block vulnerability scanners Does "w00tw00t.at.ISC.SANS.DFind:)" sound familiar to you ? If you own one ore more servers, there are a lot of chances you found it in your logs and that it gave you headaches or even nightmares trying unsuccessfully to get rid of it. It always looks like this in your apache logs : 213.251.134.23 [16/Nov/2008:07:43:58] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 213.251.134.23 [16/Nov/2008.. 2010. 4. 8. iptables를 이용한 SSH brute force 공격방어 작성자 : 넥스트라인 고객기술지원부 백철현 작성일 : 2009년 03월 19일 SSH brute force 공격은 사전적 계정이름과 단순한 패스워드의 문제를 이용한 대입공격 입니다. Ssh brute force 공격은 하나의 아이디에 여러 개의 패스워드를 대입시켜 보아서 일치되는 경우에 시스템의 사용자 계정을 획득하게 됩니다. 계정이 뚫렸다면, 시스템에 문제를 일으키는 일 뿐만 아니라, 다른 시스템을 해킹하는 또 다른 문제가 발생할 소지가 되기도 합니다. 심한 경우 한 아이피에서 몇 천번이 넘는 시도가 이루어지기도 합니다. 가장 훌륭한 방법은 각 계정의 패스워드를 매우 복잡하게 영문, 숫자, 특수문자를 골고루 썩어서 12자 이상으로 만들어 쓰시면 매우 좋습니다. 다른 방법으로는 아래의 iptables 룰.. 2010. 2. 9. kernel: nf_conntrack: table full, dropping packet. # 시스템에서 처리할수 있는 패킷이 초과되면서 이후 패킷에 대해서 drop처리되는 메세지 ping 으로 확인시 시스템이 다운된것처럼 체크됨 Jul 31 18:41:00 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:06 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:10 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:15 www kernel: nf_conntrack: table full, dropping packet. # conntrack 모듈이란.... 2.6.x 버전이상에는..... 2010. 2. 2. 이전 1 2 3 4 5 다음
