DoS/DDoS 攻撃 (IP スプーフィングおよび SYN フラッド攻撃) をブロックするには IP テーブル ルールが必要です

tag-icon tag-icon linux iptables
DoS/DDoS 攻撃 (IP スプーフィングおよび SYN フラッド攻撃) をブロックするには IP テーブル ルールが必要です

さまざまな種類の DOS/DDOS 攻撃を防ぐために、IP テーブル ルールをインストールしようとしているネットワーク スイッチがあります。以下はネットワーク レイアウトです。

Laptop-1 ------- router ---- Network switch ---- customer devices
                   |
Laptop-2 -----------

ラップトップ 1 からスイッチを攻撃しようとしていますが、スイッチがハング状態になります。

以下は私が防止しようとしている DoS/DDoS 攻撃です。

IP spoofing
    Attack command: hping3 -a 192.168.1.1 -S -p 80 --flood 192.168.22.140
    Result: System hangs
    
SYN flood - half handshake
    Attack command: hping3 -V -c 1000 -d 10 -S -p 80 --flood 192.168.22.140
    Result: System hangs
    
ICMP flood
    Attack command: hping3 -1 --flood -a 192.168.22.140 192.168.22.140
    Attack command: hping3 -1 --flood -a 192.168.22.15 192.168.22.140
    Result: System hangs

ICMP フラッドについては、すでにルールが設定されていますが、IP スプーフィングと SYN フラッド攻撃の適切なルールを見つけるのに助けが必要です。ルールは、あらゆるサブネットからの攻撃者をブロックするような方法でインストールする必要があります。

私は次の iptables バージョンを使用しています:iptables-1.8.5 (legacy build)

答え1

#!/bin/bash
# Variables
IPTABLES="/sbin/iptables"
RLIMIT="-m limit --limit 10/s --limit-burst 10"
#---------------------------------------------------------------------------
# Drop invalid packets 
$IPTABLES -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
#----------------------------------------------------------------------------
#  Drop TCP packets that are new and are not SYN 
$IPTABLES -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
#---------------------------------------------------------------------------------------
#  Drop SYN packets with suspicious MSS value
$IPTABLES -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP
#-------------------------------------------------------------------------------------------------------
# Block packets with bogus TCP flags
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
$IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
#---------------------------------------------------------------------------------------
# Limit TCP connections per source IP
$IPTABLES -A INPUT -p tcp -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
#-----------------------------------------------------------------------------------------
# Protection against SYN FLOOD
$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD $RLIMIT -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP
#-------------------------------------------------------------------------------------------
# Save the rules
/sbin/iptables-save

関連情報