IT貓撲網(wǎng)：您身邊最放心的安全下載站！ 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

首頁(yè) 常用軟件 軟件下載 安卓下載 蘋果下載 MAC下載 文章教程 軟件專題 排行榜

游戲攻略 游戲資訊 應(yīng)用教程 人工智能 虛擬現(xiàn)實(shí) 在線協(xié)作 物聯(lián)網(wǎng) 區(qū)塊鏈 網(wǎng)絡(luò)安全 路由交換 操作系統(tǒng) 系統(tǒng)集成 網(wǎng)絡(luò)編程 服務(wù)器 數(shù)據(jù)庫(kù)

ssd測(cè)試軟件 autocad 虛擬打印機(jī) 宋體字體 視頻轉(zhuǎn)換器 Project 2010

您當(dāng)前所在位置： 首頁(yè) → 網(wǎng)絡(luò)安全 → 安全防護(hù) → Linux iptables防攻擊使用

Linux iptables防攻擊使用

時(shí)間：2015-06-28 00:00:00 來(lái)源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0)

　　iptables 使用

　　虛擬主機(jī)服務(wù)商在運(yùn)營(yíng)過(guò)程中可能會(huì)受到黑客攻擊，常見(jiàn)的攻擊方式有SYN，DDOS等。通過(guò)更換IP，查找被攻擊的站點(diǎn)可能避開攻擊，但是中斷服務(wù)的時(shí)間比較長(zhǎng)。比較徹底的解決方法是添置硬件防火墻。不過(guò)，硬件防火墻價(jià)格比較昂貴?？梢钥紤]利用Linux系統(tǒng)本身提供的防火墻功能來(lái)防御。

　　1. 抵御SYN

　　SYN攻擊是利用TCP/IP協(xié)議3次握手的原理，發(fā)送大量的建立連接的網(wǎng)絡(luò)包，但不實(shí)際建立連接，最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊(duì)列被占滿，無(wú)法被正常用戶訪問(wèn)。

　　Linux內(nèi)核提供了若干SYN相關(guān)的配置，用命令：

　　sysctl -a | grep syn

　　看到：

　　net.ipv4.tcp_max_syn_backlog = 1024

　　net.ipv4.tcp_syncookies = 0

　　net.ipv4.tcp_synack_retries = 5

　　net.ipv4.tcp_syn_retries = 5

　　tcp_max_syn_backlog是SYN隊(duì)列的長(zhǎng)度，tcp_syncookies是一個(gè)開關(guān)，是否打開SYN Cookie功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數(shù)。

　　加大SYN隊(duì)列長(zhǎng)度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)，打開SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數(shù)也有一定效果。

　　調(diào)整上述設(shè)置的方法是：

　　增加SYN隊(duì)列長(zhǎng)度到2048：

　　sysctl -w net.ipv4.tcp_max_syn_backlog=2048

　　打開SYN COOKIE功能：

　　sysctl -w net.ipv4.tcp_syncookies=1

　　降低重試次數(shù)：

　　sysctl -w net.ipv4.tcp_synack_retries=3

　　sysctl -w net.ipv4.tcp_syn_retries=3

　　為了系統(tǒng)重啟動(dòng)時(shí)保持上述配置，可將上述命令加入到/etc/rc.d/rc.local文件中。

　　2. 抵御DDOS

　　DDOS，分布式拒絕訪問(wèn)攻擊，是指黑客組織來(lái)自不同來(lái)源的許多主機(jī)，向常見(jiàn)的端口，如80，25等發(fā)送大量連接，但這些客戶端只建立連接，不是正常訪問(wèn)。由于一般Apache配置的接受連接數(shù)有限（通常為256），這些"假" 訪問(wèn)會(huì)把Apache占滿，正常訪問(wèn)無(wú)法進(jìn)行。 Linux提供了叫ipchains的防火墻工具，可以屏蔽來(lái)自特定IP或IP地址段的對(duì)特定端口的連接。使用ipchains抵御DDOS，就是首先通過(guò)netstat命令發(fā)現(xiàn)攻擊來(lái)源地址，然后用ipchains命令阻斷攻擊。發(fā)現(xiàn)一個(gè)阻斷一個(gè)。

　　打開Ipchains功能

　　首先查看ipchains服務(wù)是否設(shè)為自動(dòng)啟動(dòng)：

　　chkconfig --list ipchains

　　輸出一般為：

　　ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off

　　如果345列為on，說(shuō)明ipchains服務(wù)已經(jīng)設(shè)為自動(dòng)啟動(dòng)；如果沒(méi)有，可以用命令：

　　chkconfig --add ipchains

　　將ipchains服務(wù)設(shè)為自動(dòng)啟動(dòng)。

　　其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在，ipchains即使設(shè)為自動(dòng)啟動(dòng)，也不會(huì)生效。缺省的ipchains配置文件內(nèi)容如下：

　　英文代碼

　　如果/etc/sysconfig/ipchains文件不存在，可以用上述內(nèi)容創(chuàng)建之。創(chuàng)建之后，啟動(dòng)ipchains服：

　　# Firewall configuration written by lokkit

　　# Manual customization of this file is not recommended.

　　# Note: ifup-post will punch the current nameservers through the

　　# firewall; such entries will *not* be listed here.

　　:input ACCEPT

　　:forward ACCEPT

　　:output ACCEPT

　　-A input -s 0/0 -d 0/0 -i lo -j ACCEPT

　　# allow http,ftp,smtp,ssh,domain via tcp; domain via udp

　　-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT

　　-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT

　　-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT

　　-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT

　　-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT

　　-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT

　　-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT

　　-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT

　　# deny icmp packet

　　#-A input -p icmp -s 0/0 -d 0/0 -j DENY

　　# default rules

　　-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT

　　-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT

　　-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT

　　-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT

　　-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT

　　-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

　　如果/etc/sysconfig/ipchains文件不存在，可以用上述內(nèi)容創(chuàng)建之。創(chuàng)建之后，啟動(dòng)ipchains服：

　　/etc/init.d/ipchains start

　　用netstat命令發(fā)現(xiàn)攻擊來(lái)源

　　假如說(shuō)黑客攻擊的是Web 80端口，察看連接80端口的客戶端IP和端口，命令如下：

　　netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

　　輸出：

　　161.2.8.9:123 FIN_WAIT2

　　161.2.8.9:124 FIN_WAIT2

　　61.233.85.253:23656 FIN_WAIT2

　　...

　　第一欄是客戶機(jī)IP和端口，第二欄是連接狀態(tài)。如果來(lái)自同一IP的連接很多（超過(guò)50個(gè)），而且都是連續(xù)端口，就很可能是攻擊。如果只希望察看建立的連接，用命令：

　　netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

　　用Ipchains阻斷攻擊來(lái)源

　　用ipchains阻斷攻擊來(lái)源，有兩種方法。一種是加入到/etc/sysconfig/ipchains里，然后重啟動(dòng)ipchains服務(wù)。另一種是直接用ipchains命令加。屏蔽之后，可能還需要重新啟動(dòng)被攻擊的服務(wù)，是已經(jīng)建立的攻擊連接失效。

　　加入/etc/sysconfig/ipchains

　　假定要阻止的是218.202.8.151到80的連接，編輯/etc/sysconfig/ipchains文件，在：output ACCEPT行下面加入：

　　-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

　　保存修改，重新啟動(dòng)ipchains：

　　/etc/init.d/ipchains restart

　　如果要阻止的是218.202.8的整個(gè)網(wǎng)段，加入：

　　-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

　　直接用命令行

　　加入/etc/sysconfig/ipchains文件并重起ipchains的方法，比較慢，而且在ipchains重起的瞬間，可能會(huì)有部分連接鉆進(jìn)來(lái)。最方便的方法是直接用ipchains命令。假定要阻止的是218.202.8.151到80的連接，命令：

　　ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

　　如果要阻止的是218.202.8的整個(gè)網(wǎng)段，命令：

　　ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

　　其中，-I的意思是插入，input是規(guī)則連，1是指加入到第一個(gè)。

　　您可以編輯一個(gè)shell腳本，更方便地做這件事，命令：

　　vi blockit

　　內(nèi)容：

　　#!/bin/sh

　　if [ ! -z "$1" ] ; then

　　echo "Blocking: $1"

　　ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT

　　else

　　echo "which ip to block?"

　　fi

　　保存，然后：

　　chmod 700 blockit

　　使用方法：

　　./blockit 218.202.8.151

　　./blockit 218.202.8.0/255.255.255.0

　　上述命令行方法所建立的規(guī)則，在重起之后會(huì)失效，您可以用ipchains-save命令打印規(guī)則：

　　ipchains-save

　　輸出：

　　:input ACCEPT

　　:forward ACCEPT

　　:output ACCEPT

　　Saving `input'.

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

　　-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y

　　-A i

關(guān)鍵詞標(biāo)簽：Linux,iptables

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>

發(fā)表評(píng)論

我來(lái)說(shuō)兩句...

提交評(píng)論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議

相關(guān)下載

人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS（入侵防御系統(tǒng)） 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置

• 關(guān)于我們| 下載幫助| 下載聲明| 版權(quán)聲明| 合作伙伴| 廣告服務(wù)| 友情連接| 聯(lián)系我們| 網(wǎng)站地圖
• Copyright © 2007-2024 綠軟下載站（m.ygkjgt7.cn） All Rights Reserved. 蜀ICP備2024075814號(hào)-6