Professional Documents
Culture Documents
Wydawnictwo Helion
ul. Kociuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl
Konfiguracja iptables
Atak i obrona w warstwach modelu OSI
Instalacja i konfiguracja psad
Integracja psad z oprogramowaniem zewntrznym
Konfiguracja systemu wykrywania wama Snort
Przetwarzanie sygnatur Snort na reguy iptables
Automatyzacja przetwarzania sygnatur poprzez fwsnort
Analiza i raporty psad
Instalacja i konfiguracja fwknop
Wizualizacja logw iptables
Poznaj niekomercyjne metody skutecznej ochrony sieci!
Spis treci
PODZIKOWANIA ................................................................................... 13
PRZEDMOWA ........................................................................................... 15
WPROWADZENIE ..................................................................................... 19
Dlaczego wykrywa ataki przy pomocy iptables? ......................................................................20
Co z dedykowanymi sieciowymi systemami wykrywania wama? ...................................21
Gboka obrona .................................................................................................................22
Wymagania .............................................................................................................................22
Literatura ................................................................................................................................23
Strona internetowa ................................................................................................................24
Podsumowanie rozdziaw ....................................................................................................24
1
KONFIGUROWANIE IPTABLES ................................................................. 27
iptables ...................................................................................................................................27
Filtrowanie pakietw z iptables ..............................................................................................28
Tabele ................................................................................................................................29
acuchy ............................................................................................................................29
Dopasowania ......................................................................................................................30
Cele ....................................................................................................................................30
Instalacja iptables ....................................................................................................................31
Konfiguracja jdra ...................................................................................................................32
Najwaniejsze opcje kompilacji Netfilter ...........................................................................33
Koczenie konfiguracji jdra ..............................................................................................35
adowalne moduy jdra kontra opcje wkompilowane i bezpieczestwo ......................35
Bezpieczestwo i minimalna kompilacja ................................................................................36
Kompilacja i instalacja jdra ....................................................................................................37
Instalacja binariw iptables dziaajcych w przestrzeni uytkownika .....................................38
Domylna polityka bezpieczestwa iptables ..........................................................................39
Spis treci
4
ATAK I OBRONA W WARSTWIE APLIKACJI ............................................ 93
Dopasowanie cigw znakw w warstwie aplikacji przy uyciu iptables ..............................94
Obserwowanie rozszerzenia porwnujcego cigi znakw w dziaaniu ...........................94
Dopasowywanie znakw niedrukowalnych w warstwie aplikacji ......................................96
Definicje atakw w warstwie aplikacji ...................................................................................97
Naduycia w warstwie aplikacji ..............................................................................................98
Sygnatury Snort ..................................................................................................................98
Wykorzystanie przepenienia bufora ..................................................................................99
Ataki typu SQL injection ..................................................................................................101
Czynnik ludzki ..................................................................................................................102
Szyfrowanie i kodowanie danych w aplikacji ........................................................................105
Obrona w warstwie aplikacji ................................................................................................106
5
WPROWADZENIE DO PSAD ................................................................... 107
Historia .................................................................................................................................107
Po co analizowa logi firewalla? ............................................................................................108
Moliwoci psad ...................................................................................................................109
Instalacja psad .......................................................................................................................109
Administracja psad ...............................................................................................................111
Uruchamianie i zatrzymywanie psad ................................................................................112
Unikalno procesu usugi ................................................................................................112
Konfiguracja polityki bezpieczestwa iptables .................................................................112
Konfiguracja syslog ...........................................................................................................113
Klient usugi whois ............................................................................................................116
Konfiguracja psad .................................................................................................................117
/etc/psad/psad.conf ...........................................................................................................117
/etc/psad/auto_dl ..............................................................................................................123
/etc/psad/signatures ..........................................................................................................124
/etc/psad/snort_rule_dl ....................................................................................................124
/etc/psad/ip_options .........................................................................................................125
/etc/psad/pf.os ..................................................................................................................125
Podsumowanie .....................................................................................................................126
6
DZIAANIE PSAD: WYKRYWANIE PODEJRZANYCH DANYCH ............. 127
Wykrywanie skanowania portw przy pomocy psad ..........................................................128
Skanowanie TCP connect() ..............................................................................................129
Skanowanie TCP SYN ......................................................................................................132
Skanowanie TCP FIN, XMAS i NULL ..............................................................................134
Skanowanie UDP .............................................................................................................135
Ostrzeganie i raportowanie przy pomocy psad ...................................................................137
Ostrzeenia psad wysyane przez email ...........................................................................137
Raporty generowane przez psad do sysloga ....................................................................140
Podsumowanie .....................................................................................................................141
Spis treci
7
ZAAWANSOWANE ZAGADNIENIA PSAD: OD PORWNYWANIA
SYGNATUR DO WYKRYWANIA SYSTEMW OPERACYJNYCH .............. 143
Wykrywanie ataku z wykorzystaniem regu Snort ........................................................... 144
Wykrywanie skanera portw ipEye ................................................................................. 145
Wykrywanie ataku LAND ............................................................................................... 146
Wykrywanie ruchu na 0 porcie TCP ............................................................................... 147
Wykrywanie pakietw z zerow wartoci TTL ............................................................. 147
Wykrywanie ataku Naptha DoS ...................................................................................... 148
Wykrywanie prb rutowania rda ................................................................................ 148
Wykrywanie spamu komunikatora Windows Messenger ................................................ 149
Uaktualnienia sygnatur psad ................................................................................................ 150
Wykrywanie systemw operacyjnych ................................................................................. 151
Aktywne wykrywanie systemw operacyjnych za pomoc Nmap ................................. 151
Pasywne wykrywanie systemu operacyjnego z p0f ......................................................... 152
Raportowanie DShield ......................................................................................................... 154
Format raportw DShield ............................................................................................... 155
Przykadowy raport DShield ........................................................................................... 155
Przegldanie danych o statusie psad .................................................................................... 156
Analizowanie archiwalnych logw ....................................................................................... 159
Tryb informacyjny/ledzenia ................................................................................................ 160
Podsumowanie .................................................................................................................... 161
8
AUTOMATYCZNA OBRONA ZA POMOC PSAD .................................. 163
Zapobieganie wamaniom a aktywna obrona ...................................................................... 163
Minusy aktywnej obrony ..................................................................................................... 165
Rodzaje atakw ............................................................................................................... 165
Faszywe alarmy .............................................................................................................. 166
Reagowanie za pomoc psad na atak .................................................................................. 166
Opcje ............................................................................................................................... 167
Zmienne konfiguracyjne .................................................................................................. 168
Przykady automatycznej obrony ........................................................................................ 170
Konfiguracja automatycznej obrony ................................................................................ 170
Reakcja na skanowanie typu SYN .................................................................................... 171
Reakcja na skanowanie UDP ........................................................................................... 173
Sprawdzanie wersji oprogramowania za pomoc Nmap ................................................ 174
Reakcja na skanowanie typu FIN ..................................................................................... 174
Zoliwe faszowanie skanowania .................................................................................... 175
Integrowanie automatycznych odpowiedzi psad z innymi narzdziami .............................. 176
Interfejs wiersza polece ................................................................................................. 176
Integracja ze Swatch ........................................................................................................ 178
Integracja z wasnymi skryptami ...................................................................................... 179
Podsumowanie .................................................................................................................... 181
Spis treci
9
TUMACZENIE REGU SNORT NA REGUY IPTABLES .......................... 183
Dlaczego warto uywa fwsnort? ........................................................................................184
Dogbna obrona .............................................................................................................185
Wykrywanie wama zorientowane na cel i defragmentacja warstwy sieci .....................185
Mae wymagania ...............................................................................................................186
Bezporednie odpowiedzi ................................................................................................186
Przykady przetumaczonych sygnatur .................................................................................187
Sygnatura Nmap command attempt ................................................................................187
Sygnatura Bancos Trojan z Bleeding Snort .......................................................................188
Sygnatura prby poczenia PGPNet ...............................................................................189
Interpretacja regu Snort przez fwsnort ...............................................................................190
Tumaczenie nagwka reguy Snort ................................................................................190
Tumaczenie opcji regu Snort: logowanie pakietw w iptables ......................................192
Opcje Snort i filtrowanie pakietw w iptables .................................................................195
Niewspierane opcje regu Snort .......................................................................................207
Podsumowanie .....................................................................................................................209
10
URUCHOMIENIE FWSNORT ................................................................... 211
Instalacja fwsnort ..................................................................................................................211
Uruchomienie fwsnort .........................................................................................................214
Plik konfiguracyjny fwsnort ..............................................................................................215
Budowa skryptu fwsnort.sh .............................................................................................217
Parametry fwsnort ...........................................................................................................221
Obserwowanie fwsnort w dziaaniu ....................................................................................222
Wykrywanie Trin00 ..........................................................................................................223
Wykrywanie ruchu sieciowego zwizanego
z wykonywaniem kodw powoki systemu Linux ........................................................224
Wykrywanie i obrona przed trojanem Dumador .............................................................225
Wykrywanie i reagowanie na atak faszujcy pami podrczn DNS ............................227
Tworzenie biaych i czarnych list .........................................................................................230
Podsumowanie .....................................................................................................................231
11
POCZENIE PSAD I FWSNORT ............................................................ 233
czenie wykrywania fwsnort i dziaa psad ........................................................................234
Atak na Setup.php z WEB-PHP ........................................................................................234
Aktywna obrona ...................................................................................................................238
psad kontra fwsnort .........................................................................................................238
Ograniczanie dziaa psad wobec atakw wykrytych przez fwsnort ...............................239
czenie dziaa fwsnort i psad ........................................................................................240
Cele DROP i REJECT .......................................................................................................242
Spis treci
10
Spis treci
14
WIZUALIZACJA LOGW IPTABLES ........................................................ 303
Dostrzec nietypowe .............................................................................................................304
Gnuplot ................................................................................................................................306
Rysowanie wykresw w Gnuplot .....................................................................................307
czenie psad i Gnuplot ...................................................................................................308
AfterGlow ............................................................................................................................309
Wizualizacje atakw iptables ................................................................................................310
Skanowania portw .........................................................................................................310
Przemiatanie portw .......................................................................................................314
Robak Slammer ................................................................................................................318
Robak Nachi .....................................................................................................................319
Poczenia wychodzce z zaatakowanych systemw ......................................................321
Podsumowanie .....................................................................................................................323
A
FASZOWANIE ATAKU ......................................................................... 325
B
SKRYPT FWSNORT ................................................................................. 331
SKOROWIDZ ......................................................................................... 337
Spis treci
11
4
Atak i obrona
w warstwie aplikacji
WARSTWA APLIKACJI SIDMA WARSTWA MODELU OSI TO
DLA NIEJ STWORZONE S NISZE WARSTWY. GWATOWNY
WZROST INTERNETU JEST MOLIWY DZIKI NISZYM WARSTWOM,
ALE to aplikacje s gwn si napdow. Istniej tysice
aplikacji korzystajcych z Internetu, zaprojektowanych w celu
uproszczenia zoonych zada i rozwizania problemw rnych
grup ludzi od zwykych konsumentw przez agencje rzdowe do wielkich
midzynarodowych korporacji. Najwaniejszym zagadnieniem we wszystkich tych
aplikacjach jest bezpieczestwo i jak dotd, jeli sdzi na podstawie czstotliwoci ogaszania saboci w miejscach takich jak Bugtraq, nie jest z tym najlepiej.
Jeli chodzi o wamania do systemu, najwicej dzieje si w warstwie aplikacji.
Najbardziej wartociowe cele jak interfejsy do bankw internetowych i wraliwych
danych medycznych dziaaj (lub s dostpne) w warstwie aplikacji i wrd zagroe wida trend dokonywania wama dla zyskw finansowych. Prywatno
uytkownikw jest w tej sytuacji naruszana przy okazji. Gdyby wymagania bezpieczestwa byy traktowane z wikszym priorytetem we wszystkich fazach ycia
aplikacji przy projektowaniu, tworzeniu, wdraaniu i utrzymywaniu bylibymy w lepszej sytuacji.
UWAGA
Obserwowanie rozszerzenia
porwnujcego cigi znakw w dziaaniu
By przetestowa rozszerzenie porwnujce znaki w iptables, stworzymy prost
regu sprawdzajc, czy dziaa ono tak, jak powinno. Ponisza regua wykorzystuje cel LOG iptables do wygenerowania informacji w logach, gdy cig znakw
94
Rozdzia 4
Warto zauway w parametr iptables --algo bm. Rozszerzenie porwnujce cigi znakw jest zbudowane przy wykorzystaniu mechanizmw przeszukiwania tekstw z jdra Linux (znajdujcych si w katalogu linux/lib w rdach
jdra). Wspiera ono wiele rnych algorytmw, cznie z algorytmem przeszukiwania cigw znakw Boyera-Moorea (std powysze bm) i algorytmem KnuthaMorrisa-Pratta (kmp)1.
Argumenty linii polece --m state --state ESTABLISHED w ograniczaj
zakres operacji porwnywania znakw do pakietw bdcych czci ustalonego poczenia TCP, co oznacza, e nie jest moliwe skonienie iptables do porwnania cigu znakw z danymi zawartymi w pakiecie ze sfaszowanym adresem
rdowym musi by ustanowione dwukierunkowe poczenie.
Do ustawienia serwera TCP nasuchujcego na porcie 5001 uyjemy Netcat,
a nastpnie w systemie ext_scanner, wykorzystujc ten sam program, wylemy
cig znakw tester do serwera:
[iptablesfw]$ nc -l -p 5001
[ext_scanner]$ echo "tester" | nc 71.157.X.X 5001
Nastpnie sprawdzimy, e w logach systemowych znajduje si zapis wygenerowany przez regu LOG iptables:
[iptablesfw]# tail /var/log/messages | grep tester
Jul 11 04:19:14 iptablesfw kernel: tester IN=eth0 OUT=
MAC=00:13:d3:38:b6:e4:00:30:48:80:4e:37:08:00 SRC=144.202.X.X
DST=71.157.X.X
LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=41843 DF PROTO=TCP SPT=55363 DPT=5001
WINDOW=92 RES=0x00 ACK PSH URGP=0
Warto powyej zauway pogrubiony prefiks tester. W pozostaej czci zapisanego komunikatu mona znale potwierdzenie, e opisywany pakiet zosta wysany z systemu ext_scanner do serwera Netcat nasuchujcego na porcie 5001.
1
Algorytm wyszukiwania cigw znakw Boyera-Moorea w wikszoci zastosowa jest bardziej wydajny
ni algorytm Knutha-Morrisa-Pratta. Zoono algorytmu BM to O (n/m), podczas gdy zoono
KMP to O (n), gdzie n oznacza dugo przeszukiwanego tekstu, a m to dugo szukanego cigu
znakw. Pod adresem http://people.netfilter.org/pablo/textsearch znajduj si wykresy wydajnoci.
95
UWAGA
Ten sam rezultat mona osign, uywajc programu telnet (uruchomionego w trybie liniowym) w roli klienta zamiast programu Netcat, tak by cay cig znakw
tester by zawarty w jednym pakiecie. Dziaa to cakiem dobrze, ale telnet ma
powane ograniczenia: nie moe kontaktowa si z serwerami UDP i trudno jest
za jego pomoc wygenerowa dowolny znak niedrukowalny.
Uruchamianie serwera UDP w tym miejscu nie jest konieczne, poniewa dane s wysyane przez
UDP bez wczeniejszego ustanawiania poczenia i iptables zobaczy pakiet UDP zawierajcy znaki
jena niezalenie od tego, czy w przestrzeni uytkownika nasuchuje serwer. Warto te zauway, e
nie jest konieczne dodawanie reguy ACCEPT do polityki bezpieczestwa, eby wygenerowany zosta
komunikat w logach (cho w takiej sytuacji dane nie dotr do serwera z powodu domylnej polityki
DROP acucha INPUT). Aby zobaczy, jak Netcat wywietla dane po stronie serwera, naley doda
regu ACCEPT dla portu 5002 UDP.
96
Rozdzia 4
97
Phishing jest tutaj dobrym przykadem; celem nie jest aplikacja web ani
serwer pocztowy, tylko osoba czytajca sfaszowan stron internetow lub
list elektroniczny.
Wyczerpanie zasobw. Podobnie jak w przypadku atakw DoS w warstwie
transportowej lub sieci, aplikacja moe ucierpie z powodu nadmiaru danych
wejciowych. Tego typu ataki powoduj, e aplikacja przestaje by uyteczna
dla wszystkich.
Sygnatury Snort
Jedn z lepszych metod zrozumienia atakw warstwy aplikacji jest przejrzenie
zestawu sygnatur programu Snort3. Cho najnowsze sygnatury Snort nie s rozpowszechniane z kodem rdowym Snort, projekt Bleeding Snort tworzy sygnatury
najnowszych atakw w formacie programu Snort (http://www.bleedingsnort.com).
W spoecznoci skupionej wok programu Snort nazywa si sygnaturami pojedyncze reguy, ale
w spoecznoci skupionej wok systemw wykrywania wama sygnatur nazywa si mechanizm
opisywania caych atakw. W tej ksice te dwa terminy s uywane wymiennie nic nie ogranicza
sygnatury do pojedynczego wzorca i dlatego poprawne jest nazywanie sygnaturami skomplikowanych
opisw atakw.
98
Rozdzia 4
UWAGA
99
UWAGA
Znakomity opis pisania atakw przepenienia bufora znajduje si w znanym dokumencie Smashing the Stack for Fun and Profit Alepha One (http://insecure.org/
stf/smashstack.html). Hacking. Sztuka penetracji Jona Ericksona (Helion, 2004)
jest rwnie doskonaym rdem technicznych informacji o tworzeniu eksploitw
przepeniajcych bufor.
Przy atakach sieciowych nie ma uniwersalnego sposobu wykrywania prb
przepenienia bufora. Z drugiej strony w przypadku aplikacji przesyajcej dane
przez zaszyfrowany kana atak wypeniajcy bufor 50 powtrzeniami niezakodowanej litery A powinien by bardzo podejrzany. (Zaszyfrowane protokoy zazwyczaj nie przesyaj wielu powtrze tego samego znaku).
Jeli istnieje taki sposb ataku i jest udostpniony publicznie, warto doda
regu iptables wyszukujc tego typu zachowanie. Ponisza regua moe zosta
uyta w przypadku komunikacji SSL. Warto zauway wielokrotnie powtrzon
liter A:
[iptablesfw]# iptables -I FORWARD 1 -p tcp --dport 443 -m state --state
ESTABLISHED -m string --string
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" -j LOG
--log-prefix "SSL OVERFLOW "
Cho iptables nie obsuguje wyrae regularnych (w takim wypadku pogrubiony wyej warunek pcre mgby by zapisany w regule iptables bez zmian),
moemy stworzy dobre przyblienie tej reguy Snort dla iptables. Na przykad
ponisza regua iptables wyszukuje cigi znakw site i chown oraz wykorzystuje
100
Rozdzia 4
101
Jedyn wad sygnatury Snort i jej odpowiednika dla iptables jest to, e nie
jest uwzgldniana kolejno zawartych cigw znakw. Jeli pakiet bdcy czci
ustanowionego poczenia TCP zawiera te cigi w odwrotnej kolejnoci (ze znakami NULL zapisanymi w notacji szesnastkowej Snort), na przykad -|00|-|00|
foo bar '|00| zamiast '|00| foo bar -|00|-|00|, to zarwno sygnatura Snort, jak
i regua iptables zostanie dopasowana. W przypadku niektrych sygnatur moe
to spowodowa wzrost iloci faszywych alarmw, jeli jest moliwe, by poprawne byy dane zawierajce fragmenty zoliwego kodu w zmienionej kolejnoci.
UWAGA
Czynnik ludzki
Jednymi z najbardziej problematycznych atakw w dzisiejszym Internecie s te
skierowane bezporednio przeciwko ludziom uywajcym aplikacji. Tego typu
ataki obchodz najlepsze algorytmy szyfrowania i schematy uwierzytelniania
dziki wykorzystaniu ludzkiej naiwnoci. Na przykad jeli napastnik skoni
osob do uycia lub pobrania i uycia zoliwej aplikacji albo podania lub uycia
podrobionego klucza szyfrujcego czy hasa, moe przej nawet najbardziej zaawansowane mechanizmy bezpieczestwa. Czasem wykorzystanie ludzi moe
by atwiejsze ni znalezienie dziury w zabezpieczonym systemie, aplikacji lub
schemacie szyfrowania.
Phishing
Phishingiem nazywa si atak, w ktrym uytkownik zostaje skoniony do podania w nieodpowiednim miejscu danych autoryzacyjnych zasobu sieciowego takiego jak na przykad konto bankowe. Zazwyczaj atak taki przeprowadzany jest
przez wysanie do uytkownikw oficjalnie wygldajcego listu elektronicznego
z daniem zalogowania si do konta internetowego i wykonania pewnych pilnych czynnoci zwizanych z bezpieczestwem jak zmiana hasa. (Gdyby nie
przykre efekty udanego ataku, mona byoby to uzna za wietny dowcip). Zamieszczony odnonik wyglda na poprawny, ale jest nieznacznie zmieniony, tak
by kierowa uytkownika na stron kontrolowan przez napastnika, ale bardzo
podobn do prawdziwej. Gdy tylko zaatakowani uytkownicy odwiedz stron
i wpisz swoje dane, s one przechwytywane przez napastnika.
Poniej zamieszczony jest przykadowy list, ktry otrzymaem ze sfaszowanego
adresu support@citibank.com z tematem Citibank Online Security Message:
102
Rozdzia 4
Nie wszystkie przegldarki dziaaj w ten sam sposb; widziaem Microsoft IE wywietlajcy poprawny
adres internetowy w pasku statusu, podczas gdy Firefox wywietla sfaszowany odnonik
(prawdopodobnie wynikao to z tego, e wersja Firefoxa, ktrej uywaem, nie interpretowaa
kodu JavaScript wbudowanego w ten sposb w znaczniki.
103
Naley maksymalizowa efektywno sygnatur nowych atakw przez zachowanie balansu pomidzy zwikszaniem czuoci detekcji i redukowaniem
czstotliwoci faszywych alarmw. Jednym z najlepszych sposobw jest wyszukiwanie wzorcw, ktre nie powinny pojawi si przy poprawnej komunikacji
w sieci. Jeli pojawi si nowy atak na nowy cel, dobrymi kandydatami na wzorce
do zawarcia w sygnaturze s adres IP zoliwego serwera (cho moe by zawsze zmieniony przez napastnika) i dowolny fragment tekstu lub kodu (jak cig
znakw window.status w przykadzie z Citibankiem).
Backdoory i logowanie klawiszy
Backdoorem nazywa si program, ktry zawiera funkcjonalno udostpnion
napastnikowi bez wiedzy uprawnionego uytkownika. Na przykad trojan Sdbot5
umoliwia dostp do systemu, czc si z kanaem IRC, gdzie napastnik czeka,
eby wyda polecenie. Backdoor jest napisany w ten sposb, e atakujcy musi
wprowadzi odpowiednie haso, zanim jakiekolwiek polecenie zostanie wykonane. To wprowadza pewien rodzaj autoryzacji przy komunikacji z backdoorem
i zapewnia, e tylko napastnik, ktry wama si do systemu, moe go kontrolowa.
Celem backdoora jest niezauwaalne umoliwienie napastnikowi wykonywania dowolnej czynnoci na zdalnym komputerze od zapisywania wcinitych
klawiszy w celu poznania hase do zdalnego kontrolowania caego systemu.
Niektre backdoory uruchamiaj nawet swoje wasne sniffery sieciowe skonfigurowane do wyszukiwania informacji o nazwach uytkownikw i hasach z protokow, ktre przesyaj takie dane czystym tekstem jak telnet lub FTP (cho
przejcie takich informacji z innych systemw jest mao prawdopodobne w sieciach opartych na przecznikach, chyba e backdoor jest zainstalowany na
urzdzeniu pracujcym jako gateway lub firewall). FsSniffer jest przykadem takiego
backdoora. Jest on wykrywany za pomoc poniszej reguy Snort:
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"BACKDOOR FsSniffer
connection attempt"; flow: to_server,established; content:
"RemoteNC Control Password|3A|"; reference:nessus,11854;
classtype:trojan-activity; sid:2271; rev:2;)
W regua Snort kontroluje pakiety bdce czci ustanowionego poczenia TCP i skierowane do serwera, a w regua szuka w danych warstwy aplikacji cigu znakw, ktry jednoznacznie identyfikuje prb autoryzacji w FsSniffer6.
Po przeniesieniu do iptables regua ta ma posta przedstawion poniej.
(Dopasowanie stanu ESTABLISHED w zapewnia, e pakiet jest czci ustano5
W zasadzie kto mgby wysa cig znakw RemoteNC Control Password: do dowolnego serwera TCP
niekoniecznie w celu autoryzacji w backdoorze FsSniffer, ale mimo wszystko takie dziaanie jest
podejrzane.
104
Rozdzia 4
wionego poczenia TCP, a argument --hex-string w powoduje, e kod szesnastkowy \x3A zawarty w oryginalnej regule jest poprawnie przeniesiony).
[iptablesfw]# iptables -I FORWARD 1 -p tcp -m state --state
ESTABLISHED -m string --hex-string "RemoteNC Control Password|3A|"
--algo bm -j LOG --log-ip-options --log-tcp-options --log-prefix
"FSSNIFFER BACKDOOR "
105
Istniej mechanizmy bezpieczestwa cile zwizane z aplikacjami (takie jak modu ModSecurity
dla serwera Apache), ale firewalle i systemy wykrywania wama nie maj informacji o dziaaniu
tych mechanizmw.
106
Rozdzia 4