Nestandardni filtrovani

[Dušátko Jan]

Zdravim vespolek,
shanim nekoho, kdo umi dobre pf a zaroven zna do detailu uzavirani spojeni
nad TCP.

Duvodem je situace, kdy mne pravidelne utoky robotu obtezuji a chci prenest
nevyhody komunikace na jejich stranu. Protoze zpravidla neutoci na jednu
sluzbu, je mozne je identifikovat (Spam, SSH, FTP, web ....) ruznymi
sluzbami, prohnat scripty a pripadne si tyto charakteristiky overit nejakou
identifikaci.

Idea je nasledujici:
Do tabulky detekovanych utocich pocitacu budu na predem zvoleny cas davat
zvolenou adresu, pricemz par adres musi byt na whitelistu. V prubehu tohoto
casu chci umoznit nechat na strane utocnika otevrene spojeni, na sve strane
ho uzavrit. Tim budu zatezovat pouze stranu utocnika. Cim vic bude utocit,
tim vetsi zatez ponese. Mam tu nekolik problemu:

Patrne zakladem konfigurace by byly nasledujici radky v pf.conf


table <botnet> persist  file "/var/db/botnet-detected"

set limit { frags 4000, states 8000, src-nodes 1000 }

block drop out quick proto tcp from any to <botnet> flags C/CF 
block drop out quick proto tcp from any to <botnet> flags F/CF 
block drop out quick proto tcp from any to <botnet> flags F/FA
block drop out quick proto tcp from any to <botnet> flags R/
block drop in quick proto udp from <botnet>

1) Bohuzel, pokud dobre uvazuji, OS mi nedovoli provest CLOSE/FIN spojeni na
sve strane, dokud neprijde ACK. U RST by to melo byt mozne bez ACK. Je vubec
mozne pomoci pf nejak vnutit uzavreni spojeni ? 

2) Pokud to spravne chapu (a pamatuji si to), dochazi k uzavreni spojeni v
nasledujicich pripadech:
- poslu RST
- Poslu CLOSE/FIN a cekam an ACK, FIN+ACK nebo FIN
- Poslu FIN/ACK a cekam na CLOSE/FIN

3) Jak vubec napsat pravidlo, ktere necha projit prvni ACK nebo SYN/ACK po
CONNECT a nasledne provede RST/CLOSE/FIN ? Omezeni upozorneni strany
utocnika by teoreticky byly mozne pomoci uvedenych filtru.

5) Jsou tyto pravidla vubec napsana spravne ? Jak spravne napsat masku u
flags ?

Diky za odpoved

Honza