SYN + FIN 攻撃の防止

SYN と FIN のパケットが一対になった不正アクセスを遮断する。
このアクセスにどう反応するかでサーバの OS を特定されるので、それを防ぐ。
カーネルの再構築が必要なので、今回は使わない。

tcp_drop_synfin="YES"

ICMP リダイレクト無視

DoS攻撃、盗聴、なりすまし を防ぐ。
ICMP リダイレクト要求を無視する。
リダイレクト要求があったら /var/log/messages に記録する。

icmp_drop_redirect="YES"
icmp_log_redirect="YES"

開いてないポートにパケットが届いても応答を返さない。

# 1 は SYN のみ無視。2 は全て無視。
net.inet.tcp.blackhole=2
# 設定すると traceroute が動作しなくなるので記述しない
net.inet.udp.blackhole=1 

ポートにアタックしてきたログを取る

ログがあふれる恐れがあるので、設定しない。

# TCP で、閉じているポートへのアクセスをログに記録する。
# 1 は SYN のみ。2 は全て。
net.inet.tcp.log_in_vain=1
# UDP で、閉じているポートへのアクセスをログに記録する。
net.inet.udp.log_in_vain=1

SYN+FIN パケットを無視する

/etc/rc.conf に tcp_drop_synfin="YES" を記述する場合、カーネルの再構築が必要となるので、カーネルモジュールを用いる。
http://forums.freebsd.org/showthread.php?t=4108

# Drop synfin packets
net.inet.tcp.drop_synfin=1

参考URL

http://www.bugbearr.jp/?FreeBSD%2F%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF