LinuxParty

Alguien podría tratar de atacar su sistema basado en Linux. Puede eliminar la IP del atacante usando IPtables. Sin embargo, puede usar el comando route o el comando ip para anular la ruta del tráfico no deseado. Una ruta nula (también llamada ruta de agujero negro) es una ruta de red o entrada de la tabla de enrutamiento del kernel que no lleva a ninguna parte. Los paquetes coincidentes se descartan (ignoran) en lugar de reenviarse, lo que actúa como una especie de cortafuegos muy limitado. El acto de usar rutas nulas a menudo se denomina filtrado de agujeros negros.

Puede anular la ruta (como en algún momento el ISP evita que su dispositivo de red envíe datos a un sistema remoto) deteniendo varios ataques provenientes de una sola IP (léase como IP de spammers o piratas informáticos) usando la siguiente sintaxis en un sistema basado en Linux.

Soltar o bloquear comandos IP de atacantes

Puede usar el comando route o el comando ip para configurar el enrutamiento blackhole con Linux. Veamos cómo agregar una ruta de agujero negro (también conocida como "ruta nula" en Cisco IOS) en Linux.

IP de ruta nula usando el comando de ruta

Supongamos que la IP incorrecta es 65.21.34.4, escriba el siguiente comando en el shell:

route add 65.21.34.4 gw 127.0.0.1 lo

Puede verificarlo con el siguiente comando netstat:

netstat -nr

O use el comando router

route -n

También puede usar el rechazo de destino (un consejo para Gabriele):

route add -host IP-ADDRESS reject
route add -host 64.1.2.3 reject

Para confirmar el estado de enrutamiento nulo, use el comando ip de la siguiente manera:

ip route get 64.1.2.3

Salida:

RTNETLINK responde: La red es inalcanzable

Para descartar toda la subred 192.67.16.0/24, escriba:

route add -net 192.67.16.0/24 gw 127.0.0.1 lo

Enrutamiento nulo usando el comando ip

Mientras atraviesa la RPDB, cualquier búsqueda de ruta que coincida con una regla con el tipo de regla de agujero negro hará que el paquete se descarte. No se enviará ICMP ni se reenviará ningún paquete. La sintaxis es la siguiente para el comando ip :

ip route add blackhole 202.54.5.2/29
ip route add blackhole 192.0.130.0/24
# verify it #
ip route
# use the grep command/egrep command to filter out #

ip route | grep 'blackhole'

Sesión de muestra cuando se crea el enrutamiento blackhole con Linux:

predeterminado a través de 192.168.2.254 dev enp0s31f6 proto dhcp métrica 100
10.83.200.0/24 dev lxdbr0 proto kernel scope link src 10.83.200.1
169.254.0.0/16 dev wg1 alcance vínculo métrica 1000
172.16.0.0/24 dev wg1 proto kernel scope enlace src 172.16.0.2 métrica 50
blackhole 192.0.130.0/24    ### agujero negro 192.0.130.0/24
192.168.2.0/24 dev enp0s31f6 proto kernel scope enlace src 192.168.2.25 métrica 100
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown

¿Cómo elimino el enrutamiento nulo? ¿Cómo elimino la dirección IP bloqueada?

Simplemente use el comando de eliminación de ruta de la siguiente manera:

route delete 65.21.34.4
O
route del -host 65.21.34.4 reject

O use el comando ip para eliminar la ruta en Linux :

ip route delete 1.2.3.4/26 dev eth0

Esto es genial, ya que no tienes que jugar con las reglas de iptables como se describe aquí .

Resumiendo

Y así es como descarta o bloquea la dirección IP de los atacantes con rutas nulas en un sistema Linux. Para obtener más información, consulte las siguientes páginas del manual utilizando el comando man o el comando ip :

man ip
man router
man netstat
man iptables