linux 中使用iptables 防止ddocs及cc攻击配置 。

#防止SYN攻击,轻量级预防

iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j
syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j
RETURN
iptables -A syn-flood -j REJECT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃

iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j
DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j
ACCEPT

#用Iptables缓解DDOS (参数与上相同)

iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j
ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

缓解CC攻击

当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,自动屏蔽攻击IP。

1.系统要求

(1)LINUX
内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7

2. 安装

安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则

示例如下:

(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit 
--connlimit-above 25 -j REJECT #允许单个IP的最大连接数为25个

#早期iptables模块不包含connlimit,需要自己单独编译加载,

(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update
--seconds 60 --hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m
recent --name BAD_HTTP_ACCESS --set -j ACCEPT

#单个IP在60秒内只允许最多新建30个连接

实时查看模拟攻击客户机建立起来的连接数

watch ‘netstat -an | grep:21 | grep <攻击IP>| wc -l

查看模拟攻击客户机被 DROP 的数据包数

watch ‘iptables -L -n -v | grep <攻击IP>

再补充一篇:配置防火墙防止syn,ddos攻击

[[email protected] ~]# vim /etc/sysconfig/iptables
在iptables中加入下面几行

#anti syn,ddos
-A FORWARD -p tcp --syn -m limit --limit 1/s
--limit-burst 5 -j ACCEPT
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST
-m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT
说明:
第一行:每秒中最多允许5个新连接
第二行:防止各种端口扫描
第三行:Ping洪水攻击(Ping of
Death)
可以根据需要调整或关闭
重启防火墙
[[email protected] ~]# /etc/init.d/iptables
restart
屏蔽一个IP
# iptables -I INPUT -s 192.168.0.1 -j DROP

怎么防止别人ping我??
# iptables -A INPUT -p icmp -j DROP
防止同步包洪水(Sync Flood)

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m
limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
#iptables -A FORWARD
-p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# NMAP FIN/URG/PSH
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL
FIN,URG,PSH -j DROP

# Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j
DROP

# Another Xmas Tree
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL
SYN,RST,ACK,FIN,URG -j DROP

# Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL
NONE -j DROP

# SYN/RST
# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST
-j DROP

# SYN/FIN -- Scan(possibly)
# iptables -A INPUT -i eth0 -p tcp
--tcp-flags SYN,FIN SYN,FIN -j DROP
##限制对内部封包的发送速度
#iptables -A INPUT -f
-m limit --limit 100/s --limit-burst 100 -j ACCEPT

##限制建立联机的转
#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst
100 -j ACCEPT

一个不错的防火墙代码
#####################################################

-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec
--limit-burst 200 -j

ACCEPT

-A INPUT -p udp -m udp --dport 138 -j DROP

-A INPUT -p udp -m udp --dport 137 -j DROP

-A INPUT -p tcp -m tcp --dport 1068 -j DROP

-A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP

-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec
--limit-burst 200

-j ACCEPT

-A FORWARD -p tcp -m tcp --dport 445 -j DROP

-A FORWARD -p udp -m udp --dport 138 -j DROP

-A FORWARD -p udp -m udp --dport 137 -j DROP

-A FORWARD -p tcp -m tcp --dport 1068 -j DROP

-A FORWARD -p tcp -m tcp --dport 5554 -j DROP

-A FORWARD -p icmp -j DROP

:PREROUTING ACCEPT [986908:53126959]

:POSTROUTING ACCEPT [31401:2008714]

:OUTPUT ACCEPT [30070:1952143]

-A POSTROUTING -p tcp -m tcp --dport 445 -j DROP

#####################################################

iptables 防火墙例子

#!/bin/bash
#
# The interface that connect Internet

# echo
echo "Enable IP Forwarding..."
echo 1 >
/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."

IFACE="eth0"

# include module
modprobe
ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe
ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe
ip_conntrack_irc
modprobe ipt_MASQUERADE

# init
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z

/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z
-t nat

/sbin/iptables -X -t mangle

# drop all
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD
ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P
PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -t nat -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j
ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m
limit --limit 20/sec --

limit-burst 200 -j ACCEPT

/sbin/iptables -A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j
DROP

/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j
ACCEPT
/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN
-m limit --limit 20/sec --

limit-burst 200 -j ACCEPT

# open ports
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j
ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j ACCEPT

# close ports
iptables -I INPUT -p udp --dport 69 -j DROP

iptables -I INPUT -p tcp --dport 135 -j DROP
iptables -I INPUT -p udp
--dport 135 -j DROP
iptables -I INPUT -p tcp --dport 136 -j DROP

iptables -I INPUT -p udp --dport 136 -j DROP
iptables -I INPUT -p tcp
--dport 137 -j DROP
iptables -I INPUT -p udp --dport 137 -j DROP

iptables -I INPUT -p tcp --dport 138 -j DROP
iptables -I INPUT -p udp
--dport 138 -j DROP
iptables -I INPUT -p tcp --dport 139 -j DROP

iptables -I INPUT -p udp --dport 139 -j DROP
iptables -I INPUT -p tcp
--dport 445 -j DROP
iptables -I INPUT -p udp --dport 445 -j DROP

iptables -I INPUT -p tcp --dport 593 -j DROP
iptables -I INPUT -p udp
--dport 593 -j DROP
iptables -I INPUT -p tcp --dport 1068 -j DROP

iptables -I INPUT -p udp --dport 1068 -j DROP
iptables -I INPUT -p tcp
--dport 4444 -j DROP
iptables -I INPUT -p udp --dport 4444 -j DROP

iptables -I INPUT -p tcp --dport 5554 -j DROP
iptables -I INPUT -p tcp
--dport 1434 -j DROP
iptables -I INPUT -p udp --dport 1434 -j DROP

iptables -I INPUT -p tcp --dport 2500 -j DROP
iptables -I INPUT -p tcp
--dport 5800 -j DROP
iptables -I INPUT -p tcp --dport 5900 -j DROP

iptables -I INPUT -p tcp --dport 6346 -j DROP
iptables -I INPUT -p tcp
--dport 6667 -j DROP
iptables -I INPUT -p tcp --dport 9393 -j DROP

iptables -I FORWARD -p udp --dport 69 -j DROP
iptables -I FORWARD -p tcp
--dport 135 -j DROP
iptables -I FORWARD -p udp --dport 135 -j DROP

iptables -I FORWARD -p tcp --dport 136 -j DROP
iptables -I FORWARD -p
udp --dport 136 -j DROP
iptables -I FORWARD -p tcp --dport 137 -j DROP

iptables -I FORWARD -p udp --dport 137 -j DROP
iptables -I FORWARD -p
tcp --dport 138 -j DROP
iptables -I FORWARD -p udp --dport 138 -j DROP

iptables -I FORWARD -p tcp --dport 139 -j DROP
iptables -I FORWARD -p
udp --dport 139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP

iptables -I FORWARD -p udp --dport 445 -j DROP
iptables -I FORWARD -p
tcp --dport 593 -j DROP
iptables -I FORWARD -p udp --dport 593 -j DROP

iptables -I FORWARD -p tcp --dport 1068 -j DROP
iptables -I FORWARD -p
udp --dport 1068 -j DROP
iptables -I FORWARD -p tcp --dport 4444 -j DROP

iptables -I FORWARD -p udp --dport 4444 -j DROP
iptables -I FORWARD -p
tcp --dport 5554 -j DROP
iptables -I FORWARD -p tcp --dport 1434 -j DROP

iptables -I FORWARD -p udp --dport 1434 -j DROP
iptables -I FORWARD -p
tcp --dport 2500 -j DROP
iptables -I FORWARD -p tcp --dport 5800 -j DROP

iptables -I FORWARD -p tcp --dport 5900 -j DROP
iptables -I FORWARD -p
tcp --dport 6346 -j DROP
iptables -I FORWARD -p tcp --dport 6667 -j DROP

iptables -I FORWARD -p tcp --dport 9393 -j DROP

/sbin/iptables -A INPUT -i $IFACE -m state --state RELATED,ESTABLISHED -j
ACCEPT
/sbin/iptables -A INPUT -i $IFACE -m state --state NEW,INVALID -j
DROP

# drop ping
/sbin/iptables -A INPUT -p icmp -j DROP

/sbin/iptables -I INPUT -s 222.182.40.241 -j DROP

http://www.111cn.net/sys/linux/74503.htm

上一页:linux中nagios pnp4nagios 图形监控 mysql
     下一页:Linux
禁止某个IP地址访问的几种方法

相关内容

时间: 2024-10-27 12:08:40

linux 中使用iptables 防止ddocs及cc攻击配置 。的相关文章

使用iptables缓解DDOS及CC攻击

防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT 防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A INPUT -i eth0

NGINX防御CC攻击教程

CC攻击即http flood,以攻击成本低(只需数台http代理服务器即可实现攻击).隐蔽性强(中小CC攻击一般不会造成网络瓶颈).难防御(与正常访问的请求很难区分开).威力强大(造成和DDOS流量攻击一样的效果,网站长时间无法打开)等特点著称.常规的http flood防御为JS弹回,二次请求验证加入白名单 和 多层缓存(七层.四层共同缓存)实现防御体.   CC攻击,首先造成的后果往往是被攻击服务器CPU爆满.内存占用高.甚至磁盘IO高占用.通常服务器上有永远处理不完的任务,所以,CC攻击

linux中防CC攻击两种实现方法(转)

CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么是CC攻击 cc攻击简单就是(ChallengeCollapsar) CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来攻击页面的,每个人都有 这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线

Linux中的防火墙----iptables

防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网络层防火墙主要是根据网络层.传输层的封包的属性来制定防火墙的规则,主要依据是源IP和目的IP地址,源端口和目的端口 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延. 数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统.基于主动防御机制,实现数据库

linux中iptables详解

linux中iptables详解 一.通用基础知识 1.基本概念 什么是防火墙? 所谓防火墙指的是工作于主机或网络的边缘,对于进出的报文根据事先定义的规则作检查,将那些能够被规则所匹配到的报文作出相应处理的组件. 防火墙是由软件和硬件设备组合而成.在内部网和外部网之间.专用网与公共网之间的界面上构造的保护屏障,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入. 防火墙主要由服务访问规则.验证工具.包过滤和应用网关4个

LINUX中IPTABLES防火墙使用

对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List). 这里可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw-->mangle(修改报文原数据)-->nat(定义地址转换)-->filter(定义允许或者不允许的规则) 每个表可以配置多个链: 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT 对于nat来讲一般也只能做在3个链上:PREROU

linux 中iptables的基础和常规配置

iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成.如下图所示. 一.iptables的表与链  用我的话说是[4表5链] 1. Filter表 Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链: ·       INPUT链 – 处理来自外部的数据. ·       OUTPUT链 – 处理向外

linux中iptables初学笔记

centos中对iptables进行管理实例: 对固定网段进行3306端口开放 -bash-3.2# iptables -I INPUT -s 121.124.152.0/22 -p tcp --dport 3306 -j ACCEPT-bash-3.2# iptables -I INPUT -s 111.87.191.0/28 -p tcp --dport 3306 -j ACCEPT-bash-3.2# /etc/init.d/iptables save -bash-3.2# service

Linux中iptables的一些解读

首先要注意的是iptables不是防火墙,而是实现防火墙功能的工具. 1.iptables的两张框架图: 表: raw表:     对报文设置一个标志,决定数据包是否被状态跟踪机制处理 mangle表:  主要用于修改数据包 nat表:     主要用处是网络地址转换.端口映射 fileter表: 主要用于过滤包 一般情况我们对filter表做配置的更多. 链: INPUT:      作用于进入本机的包 OUTPUT:     作用于本机送出的包 FORWARD:    匹配穿过本机的数据包(