Bloquear una IP atacante con null route

En alguna ocasion podemos encontrarnos con algun tipo de ataque de una determinada IP o red (rezando para que no sean multiples) hacia nuestra red/sistema.

En Linux (y BSD/Solaris/Unix Flavours) podemos mandar los paquetes de una determinada IP o red a ninguna parte (blackhole route o null route) añadiendo una entrada en nuestra tabla de rutas.

USANDO EL COMANDO ROUTE PARA NULL ROUTE

route add 192.168.1.5 gw 127.0.0.1 lo

En este comando especificariamos que la IP atacante es 192.168.1.5 y queremos enviar los paquetes que nos envie a la interfaz de loopback.

Verificar que se ha “null routeado” la IP en nuestra tabla de rutas

route -n

O bien usando Netstat

netstat -nr

Tambien podemos hacer un reject:

route add -host 192.168.1.5 reject

Mandar a Null route una red entera

Imaginaros que queremos filtrar el sistema autónomo completo de McColo (si algún ISP anunciara sus prefijos, claro).

route add -net 208.66.192.0/24 gw 127.0.0.1 lo

Borrar entradas de la tabla de rutas

Probablemente haya un tiempo en el que ya no nos interese bloquear a determinada IP o bloque. Para borrar una entrada haremos lo siguiente:

route delete 192.168.1.5


4 respuestas a «Bloquear una IP atacante con null route»

  1. No resulta ineficiente usar routing para bloquear un ataque?

    En equipos CISCO si que es mas eficiente por aplicar primero routing y luego los filtros, però en un Linux te gasta menos CPU dropeandola antes de llegar al routing.

  2. efectivamente resulta ineficaz en linux, pero para mayor seguridad y sin mirar la carga de cpu es un tip más de seguridad muy eficaz amigo 😀

  3. La verdad es que me ha venido muy bien el tip, porque mirando access.log de apache2 me encuentro una IP de unos Turcos intentando explotar una conocida vulnerabilidad (GET /w00tw00t.at.ISC.SANS.DFind:) y al menos con este tip puedo de momento, mientras solo sea una o dos IPs ir «baneándolas» hasta que implemente mejoras en la seguridad.

    Saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.