iptables25 728x90 Conntrack 방지 방법 (ip_conntrack 제한값) 다음은 /var/log/messages 의 내용이다. Netfilter의 conntrack 하나당 228 byte가 필요하고 최대 32760개가 가능하다는 것이다. (약 10M) Oct 7 15:15:22 host kernel: ip_conntrack version 2.4 (4095 buckets, 32760 max) – 228 bytes per conntrack 만약 32760이 넘으면 어떻게 될까? 다음과 같이 패킷이 drop이 된다. Oct 7 15:16:42 host kernel: ip_conntrack: table full, dropping packet. 이런 문제는 웹 서버와 같이 동시에 수 많은 connection을 처리해야 하는 경우에 발생할 수 있고 ab와 같은 stress 발생기를 사용.. 2010. 6. 7. Linux : using iptables string-matching filter to block vulnerability scanners Does "w00tw00t.at.ISC.SANS.DFind:)" sound familiar to you ? If you own one ore more servers, there are a lot of chances you found it in your logs and that it gave you headaches or even nightmares trying unsuccessfully to get rid of it. It always looks like this in your apache logs : 213.251.134.23 [16/Nov/2008:07:43:58] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 213.251.134.23 [16/Nov/2008.. 2010. 4. 8. iptables를 이용한 SSH brute force 공격방어 작성자 : 넥스트라인 고객기술지원부 백철현 작성일 : 2009년 03월 19일 SSH brute force 공격은 사전적 계정이름과 단순한 패스워드의 문제를 이용한 대입공격 입니다. Ssh brute force 공격은 하나의 아이디에 여러 개의 패스워드를 대입시켜 보아서 일치되는 경우에 시스템의 사용자 계정을 획득하게 됩니다. 계정이 뚫렸다면, 시스템에 문제를 일으키는 일 뿐만 아니라, 다른 시스템을 해킹하는 또 다른 문제가 발생할 소지가 되기도 합니다. 심한 경우 한 아이피에서 몇 천번이 넘는 시도가 이루어지기도 합니다. 가장 훌륭한 방법은 각 계정의 패스워드를 매우 복잡하게 영문, 숫자, 특수문자를 골고루 썩어서 12자 이상으로 만들어 쓰시면 매우 좋습니다. 다른 방법으로는 아래의 iptables 룰.. 2010. 2. 9. kernel: nf_conntrack: table full, dropping packet. # 시스템에서 처리할수 있는 패킷이 초과되면서 이후 패킷에 대해서 drop처리되는 메세지 ping 으로 확인시 시스템이 다운된것처럼 체크됨 Jul 31 18:41:00 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:06 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:10 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:15 www kernel: nf_conntrack: table full, dropping packet. # conntrack 모듈이란.... 2.6.x 버전이상에는..... 2010. 2. 2. iptstate - iptables 연결 상태 실시간 모니터링 http://www.phildev.net/iptstate/ # yum install iptstate # iptstate -h Usage: iptstate [-dfhlLRst] [-b [d|p|s|t]] [-D ] [-S ] [-r ] b: Sort by d: Destination IP (or Name) p: Protocol s: State t: TTL (to sort by Source IP (or Name), don't use -b) d: Do not dynamically choose sizing, use default D: Only show states with a destination of the IP address given f: Filter loopback h: This help message l.. 2010. 1. 31. 이전 1 2 3 4 5 다음 728x90 728x90
