iptables を使った Heartbleed 攻撃検知

OpenSSL で見つかった Heartbleed Bug 問題は既に対策済の人も多いと思います。
この問題の怖いところはログに攻撃の痕跡が残らないことなのですが、F-Secure のブログで iptables を使った攻撃検知のやり方が紹介されていたのでメモ。

エフセキュアブログ : Openssl Heartbleed 攻撃の検知について

iptables log rules

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

† CentOS 5.x では動かないので注意

ちなみにこの方法は CentOS 5.x 系では動かないようで、下記のようなエラーが出てしまいました。CentOS 6.x では普通に設定できました。

iptables v1.3.8: Couldn't load match `u32':/lib/iptables/libipt_u32.so: cannot open shared object file: No such file or directory 

by hsur at 18:14 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |

こんな記事もあります「Heartbleed OpenSSL DROP」

・ウェブ会議への迷惑行為が問題に
・Windows 10 でドラッグアンドドロップが効かなくなったときは
・AirDrop 痴漢で書類送検
・Python 開発に Pipenv を使うようにしてみた
・CentOS5 の curl: (35) SSL connect error を力技で解決
・Windows の次期バージョンからパスワード定期変更のポリシーがなくなる
・Active Directory を LDAPS に対応させる
・TLSv1.0 → TLSv1.2 変換を squid でやってみる
・iOS 12.1.4 にアップデート
・Thunderbird v60.5 にアップデート

トラックバックについて

Trackback URL:

お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/6690

Trackbacks

このエントリにトラックバックはありません

Comments

愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。

コメントはありません

Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

« 皇居宮殿の特別参観の当落通知が届いた :: 「伽藍とバザール」は無料で読める »

サイト内検索

検索ワードランキング

へぇが多いエントリ

東北道でディープインパクト... (1)

閲覧数が多いエントリ

1 . 東大のイチョウの黄葉が見頃に(6046)
2 . 契約書にハンコを押すロボット？！(5623)
3 . くまモンは人ではないので聖火リレー参加はＮＧに(5118)
4 . 相続手続もこれで最後？(4843)
5 . BIOS 起動の Windows を UEFI ブートに変換する(4064)

cles::blog

iptables を使った Heartbleed 攻撃検知