Loopback-адреса.

     Адреса обратной петли (127.0.0.0 - 127.255.255.255) никогда не могут ис­пользоваться за пределами интерфейса lo. Если пакеты с loopback-адресами появились на интерфейсе, отличном от lo, значит, они были подделаны (spoffed).

     В следующем примере кода будет создана пользовательская цепочка bad_packets, которая будет отбрасывать адреса, перечисленные выше. Все отброшенные пакеты будут запротоколированы - хороший способ отладки неправильно сконфигурированных приложений и попыток спуффинга.

Далее...

     Защита нейтральной зоны (DMZ).

     Правила, заданные в сценарии nat.sh, ограничивали поток трафика в нейтральную зону, но не определяли ограничения на ис­ходящий от DMZ-серверов трафик, который может передаваться или в ло­кальную сеть, или в Интернет. В идеале нужно разрешить только ESTABLISED- и RELATED-трафик, так как DMZ-серверы будут только обрабатывать запросы клиен­тов и не будут устанавливать новых соединений.

     Но есть определенная проблема, которая заключается в том, что сервисы, в частности DNS и SMTP, будут устанавливать новые соединения. Если запретить созда­ние новых соединений для DNS-серверов, то прервется работа этих сер­висов. В этом случаем нужно написать более точные правила.

Далее...

Опции маршрутизации.

     В каталоге /proc/sys/net/ipv4/conf содержится подкаталоги для каждого интерфейса, в частности для default и all.

dr-xr-xr-x 2 root root 0 Мар 16 09:25 all

     Для каждого интерфейса в каталогах находятся параметры сетевых интерфейсов:

Далее...

Довольно интересной функцией Linux и других UNIX-систем является файловая система   /proc. Она дает возможность смотреть и менять парамет­ры ядра "на лету". На самом деле это псевдофайловая система. Здесь нет файлов в обычном понимании. «Файлы», находящиеся в каталоге /рrос, - это просто ссылки на области памяти ядра, в которых хранятся значения некоторых параметров ядра. В этой файловой системе можно найти немало интересной информации о любом запущенном процессе, использовании процессора и памяти и много другого.

Далее...

Следующие совпадения можно применять только к определенному протоколу: специальные совпадения TCP к TCP-пакетам, UDP к UDP-пакетам и ICMP к ICMP-пакетам соответственно. Из-за этого их выделили в отдельную группу компонент правил IPTables. Их так и называют - специальные совпадения протокола(TCP, UDP или ICMP).

     В документе Iptables Tutorial эти совпадения называют неявными критериями выделения пакета. Под этим там понимаются те критерии, которые явно не выражены и становятся доступны только после указания критерия, например -p tcp. 

     Эти критерии можно подгрузить и явным образом, указав ключа -m (-match), к примеру -m tcp.

     Рассмотрим эти специальные совпадения.

Далее...

Рассмотрим немного примеров использования nmap. Посмотрите от имени какого пользователя запускается nmap: если в приглашении командной строки указана решетка (#) - от пользователя root, а если доллар ($) - от обычного пользователя.

     TCP-Сканирование.

     Методом TCP connect () nmap будет сканировать диапазон портов (1-65535) компьютера с IP-адресом 172.16.0.1. Опция -sV служит для получения версий запущенных сервисов, а опция -I дает сведения о UID пользователей-владельцев запущенных сервисов:

Далее...

DoS-атака. Цель - захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не смогли использовать этот компьютер. К ресурсам относятся: память, процессорное время, дисковое пространство, пропускная полоса и др.Далее...