Ubuntu 20.04
iptables 1.8.4-1
J'ai rencontré une situation où un système distant semblait pouvoir passer à travers la règle premier iptables d'un serveur Linux situé derrière un routeur NAT:
-A INPUT -s <remote_ip_addresses_range> -j DROP
Malgré la règle ci-dessus, j'ai pu voir l'instantané suivant en utilisant pktstat -tF -i <wired_ethernet_interface>
:
udp <remote_fqdn>:29937 <-> <server_fqdn>:domain
udp <remote_fqdn>:21862 <-> <server_fqdn>:domain
udp <remote_fqdn>:37097 <-> <server_fqdn>:domain
udp <remote_fqdn>:1886 <-> <server_fqdn>:domain
udp <remote_fqdn>:16824 <-> <server_fqdn>:domain
udp <remote_fqdn>:43989 <-> <server_fqdn>:domain
udp <remote_fqdn>:49939 <-> <server_fqdn>:domain
udp <remote_fqdn>:25297 <-> <server_fqdn>:domain
udp <remote_fqdn>:13319 <-> <server_fqdn>:domain
udp <remote_fqdn>:62586 <-> <server_fqdn>:domain
udp <remote_fqdn>:24825 <-> <server_fqdn>:domain
udp <remote_fqdn>:52733 <-> <server_fqdn>:domain
udp <remote_fqdn>:44866 <-> <server_fqdn>:domain
udp <remote_fqdn>:19691 <-> <server_fqdn>:domain
udp <remote_fqdn>:31634 <-> <server_fqdn>:domain
udp <remote_fqdn>:36689 <-> <server_fqdn>:domain
udp <remote_fqdn>:20213 <-> <server_fqdn>:domain
udp <remote_fqdn>:38816 <-> <server_fqdn>:domain
udp <remote_fqdn>:62049 <-> <server_fqdn>:domain
udp <remote_fqdn>:51384 <-> <server_fqdn>:domain
udp <remote_fqdn>:55557 <-> <server_fqdn>:domain
udp <remote_fqdn>:39710 <-> <server_fqdn>:domain
udp <remote_fqdn>:56031 <-> <server_fqdn>:domain
udp <remote_fqdn>:50839 <-> <server_fqdn>:domain
udp <remote_fqdn>:53202 <-> <server_fqdn>:domain
udp <remote_fqdn>:39416 <-> <server_fqdn>:domain
udp <remote_fqdn>:25693 <-> <server_fqdn>:domain
udp <remote_fqdn>:55591 <-> <server_fqdn>:domain
udp <remote_fqdn>:30182 <-> <server_fqdn>:domain
Je suis certain que <remote_fqdn>
est dans <remote_ip_addresses_range>
.
Je ne vois que 2 explications possibles à cette situation:
La trace tcpdump montre que toutes les requêtes DNS escrocs sont similaires; l'attaquant a tenté de détourner le serveur avec des recherches DNS récursives d'un étrange domaine DNS: packet.cf (pas le domaine desservi par <server_fqdn>
).
Quelqu'un avec un indice?
pktstat renifle les paquets avant le filtrage iptables, ce qui, je doute, est possible
Voilà ce qui se passe. pktstat, tcpdump etc. récupèrent les données non filtrées sur l'interface. Voir aussi tcpdump contourne-t-il iptables? .