• <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>
    

    <progress id="5koa6"></progress>
  • 

    <strong id="5koa6"></strong>
  • 

    


    
  	
  	
    
  		
      
  			
    • 軟件測試技術
      • 
  			
    • 軟件測試博客
      • 
  			
    • 軟件測試視頻
      • 
  			
    • 開源軟件測試技術
      • 
  			
    • 軟件測試論壇
      • 
  			
    • 軟件測試沙龍
      • 
  			
    • 軟件測試資料下載
      • 
  			
    • 軟件測試雜志
      • 
  			
    • 軟件測試人才招聘
      • 
  		
    
  	
    

    
  
  
  
  
    
  	
    

    
    
    
    
    
  	
    
  	
    


      
暫時沒有公告

    

    

  	
    
  
    
  

    


    

    

    
  		
  		
  		
    
  			
    
          
字號:    |
推薦給好友
 上一篇 |
下一篇
        
    
        
    Linux系統防火墻防止DOS攻擊
    
        
    
          發布: 2007-5-26 11:31 |
作者: 流星 |
來源: 
互連網 |
查看: 61次 | 進入軟件測試論壇討論
        
    
        
    
        領測軟件測試網
            
            
           用Linux系統防火墻功能抵御網絡攻擊
    

    
虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有SYN,DDOS等。
    
通過更換IP,查找被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底
    
的解決方法是添置硬件防火墻。不過,硬件防火墻價格比較昂貴?梢钥紤]利用Linux
    
系統本身提供的防火墻功能來防御。
    

    
1. 抵御SYN
    
SYN攻擊是利用TCP/IP協議3次握手的原理,發送大量的建立連接的網絡包,但不實際
    
建立連接,最終導致被攻擊服務器的網絡隊列被占滿,無法被正常用戶訪問。
    
Linux內核提供了若干SYN相關的配置,用命令:
    
sysctl -a | grep syn
    
看到:
    
net.ipv4.tcp_max_syn_backlog = 1024
    
net.ipv4.tcp_syncookies = 0
    
net.ipv4.tcp_synack_retries = 5
    
net.ipv4.tcp_syn_retries = 5
    

    
tcp_max_syn_backlog是SYN隊列的長度,tcp_syncookies是一個開關,是否打開SYN Cookie
    
功能,該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN
    
的重試次數。
    

    
加大SYN隊列長度可以容納更多等待連接的網絡連接數,打開SYN Cookie功能可以阻止部分
    
SYN攻擊,降低重試次數也有一定效果。
    

    
調整上述設置的方法是:
    
增加SYN隊列長度到2048:
    
sysctl -w net.ipv4.tcp_max_syn_backlog=2048 
    
打開SYN COOKIE功能:
    
sysctl -w net.ipv4.tcp_syncookies=1
    
降低重試次數:
    
sysctl -w net.ipv4.tcp_synack_retries=3
    
sysctl -w net.ipv4.tcp_syn_retries=3
    

    
為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local文件中。
    

    
2. 抵御DDOS
    
DDOS,分布式拒絕訪問攻擊,是指黑客組織來自不同來源的許多主機,向常見的端口,如80,
    
25等發送大量連接,但這些客戶端只建立連接,不是正常訪問。由于一般Apache配置的接受連接
    
數有限(通常為256),這些“假” 訪問會把Apache占滿,正常訪問無法進行。
    

    
Linux提供了叫ipchains的防火墻工具,可以屏蔽來自特定IP或IP地址段的對特定端口的連接。
    
使用ipchains抵御DDOS,就是首先通過netstat命令發現攻擊來源地址,然后用ipchains命令阻斷
    
攻擊。發現一個阻斷一個。
    

    
*** 打開ipchains功能
    
首先查看ipchains服務是否設為自動啟動:
    
chkconfig --list ipchains
    
輸出一般為:
    
ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off
    
如果345列為on,說明ipchains服務已經設為自動啟動
    
如果沒有,可以用命令:
    
chkconfig --add ipchains
    
將ipchains服務設為自動啟動
    
其次,察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在,ipchains
    
即使設為自動啟動,也不會生效。缺省的ipchains配置文件內容如下:
    

    
# Firewall configuration written by lokkit
    
# Manual customization of this file is not recommended.
    
# Note: ifup-post will punch the current nameservers through the
    
# firewall; such entries will *not* be listed here.
    
:input ACCEPT
    
:forward ACCEPT
    
:output ACCEPT
    
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
    
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
    
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
    
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
    
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
    
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
    
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
    
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
    
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
    
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
    
# deny icmp packet
    
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
    
# default rules
    
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
    
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
    
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
    
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
    
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
    
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
    

    
如果/etc/sysconfig/ipchains文件不存在,可以用上述內容創建之。創建之后,啟動ipchains服務:
    
/etc/init.d/ipchains start
    

    
*** 用netstat命令發現攻擊來源
    
假如說黑客攻擊的是Web 80端口,察看連接80端口的客戶端IP和端口,命令如下:
    
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
    
輸出:
    
161.2.8.9:123 FIN_WAIT2
    
161.2.8.9:124 FIN_WAIT2
    
61.233.85.253:23656 FIN_WAIT2
    
...
    
第一欄是客戶機IP和端口,第二欄是連接狀態
    
如果來自同一IP的連接很多(超過50個),而且都是連續端口,就很可能是攻擊。
    
如果只希望察看建立的連接,用命令:
    
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
    

    
*** 用ipchains阻斷攻擊來源
    
用ipchains阻斷攻擊來源,有兩種方法。一種是加入到/etc/sysconfig/ipchains里,然后重啟動
    
ipchains服務。另一種是直接用ipchains命令加。屏蔽之后,可能還需要重新啟動被攻擊的服務,
    
是已經建立的攻擊連接失效
    

    
* 加入/etc/sysconfig/ipchains
    
假定要阻止的是218.202.8.151到80的連接,編輯/etc/sysconfig/ipchains文件,在:output ACCEPT
    
行下面加入:
    
-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT
    
保存修改,重新啟動ipchains:
    
/etc/init.d/ipchains restart
    
如果要阻止的是218.202.8的整個網段,加入:
    
-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
    

    
* 直接用命令行
    
加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比較慢,而且在ipchains重起的瞬間,
    
可能會有部分連接鉆進來。最方便的方法是直接用ipchains命令。
    
假定要阻止的是218.202.8.151到80的連接,命令:
    
ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
    
如果要阻止的是218.202.8的整個網段,命令:
    
ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
    
其中,-I的意思是插入,input是規則連,1是指加入到第一個。
    

    
您可以編輯一個shell腳本,更方便地做這件事,命令:
    
vi blockit
    
內容:
    
#!/bin/sh
    
if [ ! -z "$1" ] ; then
    
echo "Blocking: $1"
    
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
    
else
    
echo "which ip to block?"
    
fi
    
保存,然后:
    
chmod 700 blockit
    
使用方法:
    
./blockit 218.202.8.151
    
./blockit 218.202.8.0/255.255.255.0
    

    
上述命令行方法所建立的規則,在重起之后會失效,您可以用ipchains-save命令打印規則:
    
ipchains-save
    
輸出:
    
:input ACCEPT
    
:forward ACCEPT
    
:output ACCEPT
    
Saving `input'.
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
    
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y
    
您需要把其中的"Saving `input'."去掉,然后把其他內容保存到/etc/sysconfig/ipchains文件,
    
這樣,下次重起之后,建立的規則能夠重新生效。
    

    
3. 如果使用iptables
    
RH 8.0以上開始啟用iptables替代ipchains,兩者非常類似,也有差別的地方。
    
* 啟用iptables
    
如果/etc/sysconfig/下沒有iptables文件,可以創建:
    
# Firewall configuration written by lokkit
    
# Manual customization of this file is not recommended.
    
# Note: ifup-post will punch the current nameservers through the
    
# firewall; such entries will *not* be listed here.
    
*filter
    
:INPUT ACCEPT [0:0]
    
:FORWARD ACCEPT [0:0]
    
:OUTPUT ACCEPT [0:0]
    
:RH-Lokkit-0-50-INPUT - [0:0]
    
-A INPUT -j RH-Lokkit-0-50-INPUT
    
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
    
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
    
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
    
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
    
COMMIT
    
以上配置允許了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口),domain端口。
    

    
* 啟動iptables
    
/etc/init.d/iptables start
    

    
* 設置iptables為自動啟動
    
chkconfig --level 2345 iptables on
    

    
* 用iptables屏蔽IP
    
iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT
    
注意到,和ipchains的區別是:
    
-I 后面跟的規則名稱的參數和ipchains不同,不是統一的input,而是在/etc/sysconfig/iptables里定義的那個
    
多了-m tcp
    
指定端口的參數是--dport 80
    
多了--syn參數,可以自動檢測sync攻擊
    

    
使用iptables禁止ping:-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable     
	
	

 
            
            
    
            
    
              
    
                  
    延伸閱讀
    
      
    
                      
    
  
    
    

    
    
    
    
    		
    




  
    

    

                  
    
                
    
            
    
            
    

    文章來源于領測軟件測試網 http://www.kjueaiud.com/
    











    

        
    
        
    軟件測試論壇
    
  		
    
  		
  		
    
  			
    
  				
    領測軟件測試網最新更新
      				
    
  					
  				
    
  			
    
  			
    
  				
    軟件測試技術相關文章
      				
    
  					
  				
    
  			
    
  		
    
  		
  		
    

  		

    
  		

    

    

    


    


    

    軟件測試培訓信息
    

    


    

    

    



    

    最新軟件測試技術專題
    

    

    

    



    

    最新領測軟件測試網新聞
    

    


    

    


    
    
    
    

    


    

    軟件測試技術文章排行榜
    

      

    • 編輯推薦
      • 

    • 周排行
      • 

    • 月排行
      • 

    




    



    

    軟件測試技術分類最新內容
    


    

    


    
       

    

    

    
 

    

	

    

    
關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
    
版權所有(C) 2003-2010 TestAge(領測軟件測試網)|領測國際科技(北京)有限公司|軟件測試工程師培訓網 All Rights Reserved
    
北京市海淀區中關村南大街9號北京理工科技大廈1402室 京ICP備10010545號-5
    
技術支持和業務聯系:info@testage.com.cn 電話:010-51297073
    

    

    


    
軟件測試 | 領測國際ISTQBISTQB官網TMMiTMMi認證國際軟件測試工程師認證領測軟件測試網

    


    

    


 








 
        



老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

    • <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>
    

    <progress id="5koa6"></progress>
  • 

    <strong id="5koa6"></strong>
  •