جلوگیری از حملات نال روت ای پی آدرس در لینوکس

جلوگیری از حملات نال روت ای پی آدرس در لینوکس

 

حمله نال روت

 

چگونه می توان آی پی آدرس مهاجمان را با Null Routes در لینوکس مسدود و یا دور انداخت ؟

 

گاهی اوقات ممکن است افراد به سیستم های مبتنی بر لینوکس حمله کنند . شما می توانید آی پی آدرس فرد مهاجم را با استفاده از جدول آی پی IPtables دور بیندازید . همچنین شما می توانید از دستورات route و یا ip برای تهی کردن مسیر ترافیکهای ناخواسته استفاده کنید . یک مسیر تهی (null route) که به عنوان blackhole route نیز شناخته شده است ، یک مسیر شبکه ای و یا ورودی جدول مسیر یابی هسته است که به هیچ جایی نمیرود . بسته های تطبیقی به جای فرستاده شدن دور انداخته ( نادیده گرفته) می شوند که به عنوان یک فایروال محدود عمل می شود . استفاده از null route معمولا فیلتر blackhole نیز نامیده می شود .شما میتوانید از null route ( مانند زمانی که ISP از فرستادن هر داده ای از دستگاه شما به سیستم ریموت خودداری میکند) برای متوقف کردن حملات مختلفی که از یک آی پی می آیند و با استفاده از دستورات زیر در سیستم عامل مبتنی بر لینوکس استفاده کنید .

استفاده از دستور route :

 

فرض کنید که آی پی فرد مهاجم به صورت 65.21.34.4 باشد ، دستور زیر را در پوسته یا shell تایپ کنید :

route add 65.21.34.4 gw 127.0.0.1 lo #

شما می توانید آن را با دستور زیر تایید کنید :

 netstat–nr #

یا :

  route -n #

همچنین می توانید از reject هدف استفاده کنید :

  route add -host IP-ADDRESS reject #
  route add -host 64.1.2.3 reject #

برای تایید وضعیت مسیرهای تهی (null route ) از دستور ip همانند زیر استفاده کنید :

ip route get 64.1.2.3 #

خروجی :

RTNETLINK answers: Network is unreachable

برای دور انداختن کل زیر شبکه  192.67.16.0/24 باید دستور زیر را تایپ کنید :

  route add -net 192.67.16.0/24 gw 127.0.0.1 lo #

استفاده از دستور ip :

 

با تراورس کردن RPDB ، هر مسیری که با قوانین blackhole مطابقت داشته باشد ، باعث دور انداخته شدن بسته می شود . هیچ icmp ای فرستاده نشده و هیچ بسته ای نیز ارسال نخواهد شد . از دستور زیر برای ip می توانید استفاده کنید:

  ip route add blackhole 202.54.5.2/29
ip route add blackhole from 202.54.1.2
ip rule add blackhole to 10.18.16.1/29
ip route

چگونه می توان مسیر یابی تهی را حذف کرد ؟ چگونه می توان آی پی های مسدود شده را حذف کرد ؟

 

شما می توانید از دستور route delete همانند دستور زیر استفاده کنید :

route delete 65.21.34.4

یا :

    route del -host 65.21.34.4 reject #

یا اینکه می توانید از دستور NA برای پاک کردن مسیر استفاده کنید :

  ip route delete 1.2.3.4/26 dev eth0