學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 >

Linux系統(tǒng)防火墻防止DOS和CC攻擊的方法是什么

時間: 加城1195 分享

  防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成,防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。那么怎么利用Linux系統(tǒng)防火墻功能抵御網(wǎng)絡(luò)攻擊呢?下面一起看看具體步驟!

  用Linux系統(tǒng)防火墻功能抵御網(wǎng)絡(luò)攻擊

  1. 抵御SYN

  SYN攻擊是利用TCP/IP協(xié)議3次握手的原理,發(fā)送大量的建立連接的網(wǎng)絡(luò)包,但不實際

  建立連接,最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊列被占滿,無法被正常用戶訪問。

  Linux內(nèi)核提供了若干SYN相關(guān)的配置,用命令:

  sysctl -a | grep syn

  看到:

  net.ipv4.tcp_max_syn_backlog = 1024

  net.ipv4.tcp_syncookies = 0

  net.ipv4.tcp_synack_retries = 5

  net.ipv4.tcp_syn_retries = 5

  tcp_max_syn_backlog是SYN隊列的長度,tcp_syncookies是一個開關(guān),是否打開SYN Cookie

  功能,該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN

  的重試次數(shù)。

  加大SYN隊列長度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù),打開SYN Cookie功能可以阻止部分

  SYN攻擊,降低重試次數(shù)也有一定效果。

  調(diào)整上述設(shè)置的方法是:

  增加SYN隊列長度到2048:

  sysctl -w net.ipv4.tcp_max_syn_backlog=2048

  打開SYN COOKIE功能:

  sysctl -w net.ipv4.tcp_syncookies=1

  降低重試次數(shù):

  sysctl -w net.ipv4.tcp_synack_retries=3

  sysctl -w net.ipv4.tcp_syn_retries=3

  為了系統(tǒng)重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local文件中。

  2. 抵御DDOS

  DDOS,分布式拒絕訪問攻擊,是指黑客組織來自不同來源的許多主機,向常見的端口,如80,

  25等發(fā)送大量連接,但這些客戶端只建立連接,不是正常訪問。由于一般Apache配置的接受連接

  數(shù)有限(通常為256),這些“假” 訪問會把Apache占滿,正常訪問無法進行。

  Linux提供了叫ipchains的防火墻工具,可以屏蔽來自特定IP或IP地址段的對特定端口的連接。

  使用ipchains抵御DDOS,就是首先通過netstat命令發(fā)現(xiàn)攻擊來源地址,然后用ipchains命令阻斷

  攻擊。發(fā)現(xiàn)一個阻斷一個。

  *** 打開ipchains功能

  首先查看ipchains服務(wù)是否設(shè)為自動啟動:

  chkconfig --list ipchains

  輸出一般為:

  ipchains 0:off 1:0ff 2:on 3:on 4:on 5:on 6:off

  如果345列為on,說明ipchains服務(wù)已經(jīng)設(shè)為自動啟動

  如果沒有,可以用命令:

  chkconfig --add ipchains

  將ipchains服務(wù)設(shè)為自動啟動

  其次,察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在,ipchains

  即使設(shè)為自動啟動,也不會生效。缺省的ipchains配置文件內(nèi)容如下:

  # Firewall configuration written by lokkit

  # Manual customization of this file is not recommended.

  # Note: ifup-post will punch the current nameservers through the

  # firewall; such entries will *not* be listed here.

  :input ACCEPT

  :forward ACCEPT

  utput ACCEPT

  -A input -s 0/0 -d 0/0 -i lo -j ACCEPT

  # allow http,ftp,smtp,ssh,domain via tcp; domain via udp

  -A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT

  -A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT

  -A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT

  -A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT

  -A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT

  -A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT

  -A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT

  -A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT

  # deny icmp packet

  #-A input -p icmp -s 0/0 -d 0/0 -j DENY

  # default rules

  -A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT

  -A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT

  -A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT

  -A input -p udp -s 0/0 -d 0/0 2049 -j REJECT

  -A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT

  -A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

  如果/etc/sysconfig/ipchains文件不存在,可以用上述內(nèi)容創(chuàng)建之。創(chuàng)建之后,啟動ipchains服務(wù):

  /etc/init.d/ipchains start

  *** 用netstat命令發(fā)現(xiàn)攻擊來源

  假如說黑客攻擊的是Web 80端口,察看連接80端口的客戶端IP和端口,命令如下:

  netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %sn",$5,$6}' | sort

  輸出:

  161.2.8.9:123 FIN_WAIT2

  161.2.8.9:124 FIN_WAIT2

  61.233.85.253:23656 FIN_WAIT2

  ...

  第一欄是客戶機IP和端口,第二欄是連接狀態(tài)

  如果來自同一IP的連接很多(超過50個),而且都是連續(xù)端口,就很可能是攻擊。

  http://bbs.92bbs.net/read-tid-31313.html

  如果只希望察看建立的連接,用命令:

  netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %sn",$5,$6}' | sort

  *** 用ipchains阻斷攻擊來源

  用ipchains阻斷攻擊來源,有兩種方法。一種是加入到/etc/sysconfig/ipchains里,然后重啟動

  ipchains服務(wù)。另一種是直接用ipchains命令加。屏蔽之后,可能還需要重新啟動被攻擊的服務(wù),

  是已經(jīng)建立的攻擊連接失效

  * 加入/etc/sysconfig/ipchains

  假定要阻止的是218.202.8.151到80的連接,編輯/etc/sysconfig/ipchains文件,在utput ACCEPT

  行下面加入:

  -A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

  保存修改,重新啟動ipchains:

  /etc/init.d/ipchains restart

  如果要阻止的是218.202.8的整個網(wǎng)段,加入:

  -A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

  * 直接用命令行

  加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比較慢,而且在ipchains重起的瞬間,

  可能會有部分連接鉆進來。最方便的方法是直接用ipchains命令。

  假定要阻止的是218.202.8.151到80的連接,命令:

  ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

  如果要阻止的是218.202.8的整個網(wǎng)段,命令:

  ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

  其中,-I的意思是插入,input是規(guī)則連,1是指加入到第一個。

  您可以編輯一個shell腳本,更方便地做這件事,命令:

  vi blockit

  內(nèi)容:

  #!/bin/sh

  if [ ! -z "$1" ] ; then

  echo "Blocking: $1"

  ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT

  else

  echo "which ip to block "

  fi

  保存,然后:

  chmod 700 blockit

  使用方法:

  ./blockit 218.202.8.151

  ./blockit 218.202.8.0/255.255.255.0

  上述命令行方法所建立的規(guī)則,在重起之后會失效,您可以用ipchains-save命令打印規(guī)則:

  ipchains-save

  輸出:

  :input ACCEPT

  :forward ACCEPT

  utput ACCEPT

  Saving `input'.

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y

  http://bbs.92bbs.net/read-tid-31313.html

  您需要把其中的"Saving `input'."去掉,然后把其他內(nèi)容保存到/etc/sysconfig/ipchains文件,

  這樣,下次重起之后,建立的規(guī)則能夠重新生效。

  3. 如果使用iptables

  RH 8.0以上開始啟用iptables替代ipchains,兩者非常類似,也有差別的地方。

  * 啟用iptables

  如果/etc/sysconfig/下沒有iptables文件,可以創(chuàng)建:

  # Firewall configuration written by lokkit

  # Manual customization of this file is not recommended.

  # Note: ifup-post will punch the current nameservers through the

  # firewall; such entries will *not* be listed here.

  *filter

  :INPUT ACCEPT [0:0]

  :FORWARD ACCEPT [0:0]

  :OUTPUT ACCEPT [0:0]

  :RH-Lokkit-0-50-INPUT - [0:0]

  -A INPUT -j RH-Lokkit-0-50-INPUT

  -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT

  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT

  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

  COMMIT

  以上配置允許了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口),domain端口。

  * 啟動iptables

  /etc/init.d/iptables start

  * 設(shè)置iptables為自動啟動

  chkconfig --level 2345 iptables on

  * 用iptables屏蔽IP

  iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

  注意到,和ipchains的區(qū)別是:

  -I 后面跟的規(guī)則名稱的參數(shù)和ipchains不同,不是統(tǒng)一的input,而是在/etc/sysconfig/iptables里定義的那個

  多了-m tcp

  指定端口的參數(shù)是--dport 80

  多了--syn參數(shù),可以自動檢測sync攻擊

  使用iptables禁止ping:

  -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT

  -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable

  允許某ip連接

  -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s 192.168.0.51 --syn -j ACCEPT

  補充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導(dǎo)致宕機嗎?這是一個相當高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。

  二、以最小的權(quán)限安裝所有的訪問規(guī)則。

  另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標對象。當你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會變得權(quán)限過度釋放,因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團隊知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。

Linux系統(tǒng)防火墻相關(guān)文章:

1.Linux關(guān)閉防火墻的方法步驟

2.linux怎么查看防火墻是否開啟

3.linux如何關(guān)閉防火墻

4.linux如何查看防火墻是否開啟

5.Linux系統(tǒng)中查看當前路徑的命令

4042304