1400 बाइट्स के अनुसार, SSH के लिए क्या आवश्यक है, इस पर निर्भर करते हुए, आप सत्र समाप्त करने के लिए IPTables का उपयोग करके इस लक्ष्य (गैर-तुच्छ) फ़ाइलों को प्राप्त करने में सक्षम हो सकते हैं। इसका मतलब यह है कि इंटरएक्टिव एसएचएस ज्यादातर काम करेगा, लेकिन जैसे ही कोई 1500 बाइट पैकेट भेजने की कोशिश करता है - जैसे कि एसपीपी को एक फ़ाइल के लिए बड़ा होना चाहिए, फिर 1499 बाइट्स 1500 के मानक एमटीयू मानकर, यह कनेक्शन समाप्त कर देगा।
यह आपके द्वारा उल्लेखित "कैटिंग" हमले को भी रोकेगा।
दुर्भाग्य से इसका मतलब है कि आपको पाठ संपादक के साथ कुछ फ़ाइलों को संपादित करने में समस्या हो सकती है, अगर स्क्रीन को अधिक से अधिक 1400 वर्णों को आकर्षित करने की आवश्यकता है, या यदि आपको एक लंबी फ़ाइल को कैट करने या एक लंबी निर्देशिका लिस्टिंग की आवश्यकता है।
सबसे सरल मामले में ऐसा करने के लिए एक आदेश कुछ इस तरह लग सकता है
iptables -I OUTPUT -p tcp --dport 22 -m length --length 1400:0xffff -j DROP
हम पैकेट की लंबाई की जाँच को ipt_recent के साथ जोड़कर इस काम को बेहतर बना सकते हैं, ताकि आप सीमित समय में पैकेट की एक सीमित संख्या को 1400 बाइट्स की अनुमति दें (8 पैकेट प्रति 5 सेकंड में) - यह पैकेट 12k तक फिसलने की अनुमति देगा के माध्यम से, लेकिन आप फ़ाइलों को संपादित करने के लिए आप की आवश्यकता होगी अन्तरक्रियाशीलता दे सकते हैं आदि, आप निश्चित रूप से, पैकेट की संख्या को घुमा सकते हैं।
यह कुछ इस तरह लग सकता है
iptables -I OUTPUT -p tcp --dport 22 -m length --length 1400:0xffff \
-m recent --name noscp --rdest --set
iptables -I OUTPUT -p tcp --dport 22 -m length --length 1400:0xffff \
-m recent --name noscp --rdest --update --seconds 5 --hitcount 8 \
-j REJECT --reject-with tcp-reset
ऊपर दिए गए नियम उदाहरण केवल scp अपलोड से रक्षा करते हैं जैसे कि scp myfile.data remote.host:~
। इसके अलावा scp डाउनलोड से बचाव के लिए scp remote.host:~/myfile.data /local/path
, उपरोक्त नियमों को दोहराएं लेकिन --dport
साथ में बदलें --sport
।
एक सुराग देने वाला हैकर अपनी मशीन (या बल mtu या समान) पर कम से कम 1400 का MTU सेट करके इन सीमाओं के आसपास काम कर सकता है। इसके अलावा, जब आप इसे कुछ उपयोगकर्ताओं तक सीमित नहीं कर सकते, तो आप इसे उचित रूप में iptables लाइनों को संशोधित करके आईपी द्वारा सीमित कर सकते हैं !!
चीयर्स, डेविड गो