Score:0

ลดการโจมตีการรีเซ็ต TCP ผ่าน iptables

ธง mx

ดูเหมือนว่าฉันตกเป็นเหยื่อของการโจมตีแบบรีเซ็ต TCP โดยมีจุดประสงค์เพื่อป้องกันไม่ให้ฉันดาวน์โหลดข้อมูลบางอย่าง ฉันรู้ว่าเป็นกรณีนี้ในขั้นตอนนี้

ในขณะนี้ ฉันพักอยู่ที่โรงแรม จึงไม่สามารถเข้าถึงเราเตอร์ไฟร์วอลล์ได้ที่นี่ แต่คำถามของฉันคือ: เป็นไปได้ไหมที่จะป้องกันการโจมตีสไตล์การรีเซ็ต TCP ผ่าน iptables

สิ่งที่ฉันพยายามทำคือบล็อกแพ็กเก็ต RST (และ FIN) ด้วย iptables ดังนี้:

iptables -I OUTPUT -p tcp --tcp-flags RST -j DROP ทั้งหมด iptables -I INPUT -p tcp --tcp-flags RST -j DROP ทั้งหมด (เหมือนกันสำหรับแพ็กเก็ต FIN)

อย่างไรก็ตาม ผู้โจมตียังคงสามารถหยุดการเชื่อมต่อได้ -- จากการวิเคราะห์ wireshark ฉันพบว่าแพ็กเก็ต RST ยังคงถูกส่งจาก IP ของฉันไปยังเซิร์ฟเวอร์ ฉันไม่เห็นว่าทำไมมันถึงส่งสิ่งนี้เนื่องจากการตั้งค่า iptables

เป็นไปได้ไหมที่ผู้โจมตีที่เชื่อมต่อกับ LAN เดียวกันจะส่งแพ็กเก็ต RST ไปยังเซิร์ฟเวอร์และหยุดการเชื่อมต่อของฉัน ในกรณีนั้น ฉันเดาว่าฉันจะต้องควบคุมไฟร์วอลล์ของเครือข่าย ซึ่งตอนนี้ฉันไม่ได้ทำ

VPN ไม่ได้ป้องกันการโจมตี อาจเป็นเพราะผู้โจมตีทราบเซิร์ฟเวอร์ที่ฉันใช้อยู่

ฉันยังต้องการชี้ให้เห็นว่าฉันกำลังใช้ qubes โดยการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมดจะผ่าน sys-net qube ซึ่งกฎ iptables ทำงานอยู่

สิ่งที่ฉันกำลังมองหาคือวิธีลดการโจมตีประเภทนี้ แม้ว่าในขณะที่ใช้ไฟร์วอลล์และบล็อกแพ็กเก็ตเหล่านี้ ดูเหมือนว่าการเชื่อมต่อยังคงถูกฆ่าโดยผู้โจมตีที่ตั้งใจ โดยมีหลักฐานเพียงเล็กน้อยจาก wireshark จากฝั่งของฉัน -- ฉันคิดว่า พวกเขาส่งแพ็กเก็ตไปยังเซิร์ฟเวอร์ด้วย ip ของฉันที่ปลอมแปลง

anx avatar
fr flag
anx
โปรดอธิบายคำถามของคุณให้ชัดเจนเพื่ออธิบายว่าคุณกำลังพยายามทำอะไรกันแน่ และทำไมคำตอบของคุณไม่ใช่แค่ "ใช้ VPN" อัปลิงค์อินเทอร์เน็ตของคุณจะได้รับการตัดสินใจว่าการเชื่อมต่อ TCP ใดที่จะกำหนดเส้นทางและที่จะปล่อย ไม่มีสิ่งใดที่ไฟร์วอลล์ในเครื่องของคุณสามารถทำได้เกี่ยวกับข้อเท็จจริงนั้น คุณต้องใช้ VPN เพื่อให้การเชื่อมต่อของคุณเริ่มต้นจากที่ที่ไม่รบกวนการเชื่อมต่อของคุณหากคุณคิดว่าคุณกำลังใช้ VPN และเราเตอร์ภายในเครื่องยังคงวางใจได้และเลือกวางปลายทางที่เฉพาะเจาะจง แสดงว่ามีบางอย่างผิดปกติกับการกำหนดค่า VPN ของคุณ
A.B avatar
cl flag
A.B
นอกจากนี้ กรณีที่ TCP RST เป็นอาการมากกว่าการโจมตีคือเมื่อสองโหนดในเครือข่ายเดียวกันใช้ที่อยู่ IP เดียวกันโดยไม่ได้ตั้งใจ แต่จะส่งผลกระทบมากกว่า TCP ในขณะนั้น บน linux คุณสามารถตรวจสอบได้ด้วยคำสั่ง arping ในโหมด DAD (-D) (ทั้งสองด้าน)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา