издание на xtables-addons с поддръжка на ipset 5

Проектът xtables-addons е набор от модули за разширение за рамката за филтриране на пакети и трансформация на ядрото на Linux netfilter. Този набор включва разширения, които по една или друга причина все още не са приети в основния клон за разработка на ядрото на Linux. По този начин този проект е алтернатива на остарелия patch-o-matic(-ng). Ключовата разлика между xtables-addons и неговия предшественик е, че няма нужда от корекция на ядрото и iptables, което значително опростява процеса на поддръжка и инсталиране на разширения. В дните на patch-o-matic често беше трудно да се намери версия на корекцията, която да е съвместима с необходимото ядро ​​и/или iptables версия, докато xtables-addons се нуждаеха от версия на ядрото >=2.6.17 и iptables >= 1.4.3, за да работят (обаче, в случай на използване на ipset 5, изискванията стават малко по-строги - версията на ядрото е поне 2.6.3 5, а библиотеката libmnl е необходима допълнително). Други предимства на xtables-addons пред patch-o-matic(-ng) включват подобрена IPv6 поддръжка и по-високо качество на кода. Тези проблеми са разгледани по-подробно в презентация на разработчика на xtables-addons Jan Engelhardt, представена на конференцията Netfilter Workshop 2010.

Струва си да се подчертае, че версията на ipset 5, разпространявана като част от xtables-addons,не изисквада прилага пачове към ядрото, за разлика от стандартната версия на ipset 5. Това беше постигнато чрез извършване на някои промени в кода, по-специално чрез замяна на специализирания протокол за взаимодействие ядро-потребителско пространство nfnetlink с genetlink. Това прави инсталирането на ipset 5 толкова лесно, колкото инсталирането на ipset 4.

В допълнение към двете версии на ipset, вече споменати по-горе, xtables-addons включва много други полезни модули.(критерии и действия на iptables/netfilter), по-специално

  • TARPIT е добре познат инструмент в тесни кръгове за активно противодействие на (D)DoS атаки и сканиране на TCP портове, способен да даде добър урок на нападателя при определени обстоятелства. Същността на работата му е следната: той потвърждава отварянето на входяща TCP връзка, след което задава размера на TCP прозореца на нула, което блокира възможността за правилно затваряне на връзката. В резултат на това системата на атакуващия получава друга "висяща" връзка, докато вашата система не забелязва нищо (куките на netfilter се обработват по-рано от стандартния мрежов стек на ядрото, освен това може да се наложи да деактивирате проследяването на връзката в conntrack чрез действието NOTRACK). При агресивна атака подобна тактика може да причини сериозни проблеми на нападателя. Особено податливи на такова въздействие са системите от семейството на Windows, на които по правило работят атакуващи ботнети.
  • DELUDE е по-малко опасен, но все пак полезен инструмент за противодействие на сканирането на TCP портове. Работи по следния начин: отговаря на SYN пакети със SYN, ACK пакети, създавайки вид на отворен порт, а на всички останали пакети отговаря с RST (за да не създава ненужни проблеми). По този начин DELUDE ви позволява да заблудите нападателя, създавайки му погрешно впечатление за състоянието на вашите портове.
  • CHAOS е друг инструмент, който ви позволява да поставите нападателя в глупава позиция. С дадена вероятност той прилага операцията TARPIT или DELUDE (в зависимост от настройките) към входящия пакет или стандартната операция REJECT (изпращане на известие за недостъпен ICMP порт) или операцията DROP (блокиране на пакета без уведомяване на изпращащата страна). Вероятности за неизпълнениеПриложенията TARPIT/DELUDE и REJECT са около един процент, DROP се прилага за останалия трафик.