Check the new version here

Popular channels

Usando IPTABLES para Detectar Escaneos con NMAP

Fuente:

http://diegosamuel.blogspot.com.ar/2014/03/usando-iptables-para-detectar-escaneos.html

Intentando aprender como funciona en IPTABLES el manejo de las banderas de TCP monte un pequeño laboratorio para ir creando reglas usando el tcp-flags. Para poder ver si era efectivo usaba una maquina de atacante enviando escaneos como sF, sS y sX podía generar que el iptables me hiciera un Log y si se necesita bloquearlos.

Entonces lo primero es saber que parámetro es el que debemos usar, este se llama tcp-flags y es una de las opciones del parámetro tcp, en la siguiente imagen pueden ver el segmento del man de iptables donde se hace referencia al parámetro y sus opciones.

Como pueden ver en los datos que solicita la opción de tcp-flags se pide primero una mascara que son las banderas con las que va a comparar y el segundo dato son las banderas que usted desea verificar, así el primer campo contiene los bita que desea tener de base para comparar y la segunda opción los que le interesan.

Entonces cuando lanzamos nmap con el parámetro -sX, el escaneo envía las banderas Fin, Push y Urgent activas, por lo que si deseamos generar un registro que nos permita ver cuando nos están escaneando así pues activamos el log en IPTABLES con el siguiente comando

[email protected]:~# iptables -I INPUT -i eth0 -p tcp --tcp-flags ALL FIN,PSH,URG -j LOG --log-level 4 --log-prefix "NMAP-SX: "

Este comando me permite generar un registro de cada paquete que contenga las banderas FIN,PSH,URG activas en el archivo /var/log/syslog, además lo calificara como de nivel 4 y le pondrá un prefijo que se diga NMAP-SX:.

Entonces lanzamos el escaneo y como pueden observar en la siguiente imagen el segmento de log nos permite ver claramente el ataque
0
0
0
0
0No comments yet