« 2019年7月 | トップページ | 2019年10月 »

2019/08/11

Tomatoで CVE-2019-11479回避

 MSSを下限の 48バイトに設定して送信されるとメモリが足りなくなって Linuxがカーネルパニックを起こすンだとかw(@@;w

Administration - Scripts - Firewallタブに
iptables -t nat -I WANPREROUTING -p TCP -m state --state NEW -m tcpmss ! --mss 536:65535 -j DROP
を追加。

 再起動し、Tools - System Commandsで iptables -L WANPREROUTING -t natを実行し

Chain WANPREROUTING (1 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            state NEW tcpmss match ! 536:65535
<以下、元々あったルール>

となっていれば完了(^^)/
 iptables -vL WANPREROUTING -t natを実行すれば、破棄されたパケット数が確認できます

Chain WANPREROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 5268  225K DROP       tcp  --  any    any     anywhere             anywhere            state NEW tcpmss match ! 536:65535 
  514 22616 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW 

 syn floodは廃れ、今はこの攻撃が主流のようですネ(^^;

| | コメント (0)

« 2019年7月 | トップページ | 2019年10月 »