Linux系统下防DDOS攻击的方法

时间:2008-01-11 11:12:52  来源:站长资讯收集整理  作者:

  * 直接用命令行

  加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在ipchains重起的瞬间,

  可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。

  假定要阻止的是218.202.8.151到80的连接,命令:

  ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

  如果要阻止的是218.202.8的整个网段,命令:

  ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

  其中,-I的意思是插入,input是规则连,1是指加入到第一个。

  您可以编辑一个shell脚本,更方便地做这件事,命令:

  vi blockit

  内容:

  #!/bin/sh

  if [ ! -z "$1" ] ; then

  echo "Blocking: $1"

  ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT

  else

  echo "which ip to block?"

  fi

  保存,然后:

  chmod 700 blockit

  使用方法:

  ./blockit 218.202.8.151

  ./blockit 218.202.8.0/255.255.255.0

  上述命令行方法所建立的规则,在重起之后会失效,您可以用ipchains-save命令打印规则:

  ipchains-save

  输出:

  :input ACCEPT

  :forward ACCEPT

  utput ACCEPT

  Saving `input'.

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y

  -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y

  http://bbs.92bbs.net/read-tid-31313.html

  您需要把其中的"Saving `input'."去掉,然后把其他内容保存到/etc/sysconfig/ipchains文件,

  这样,下次重起之后,建立的规则能够重新生效。

  3. 如果使用iptables

  RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。

  * 启用iptables

  如果/etc/sysconfig/下没有iptables文件,可以创建:

  # Firewall configuration written by lokkit

  # Manual customization of this file is not recommended.

  # Note: ifup-post will punch the current nameservers through the

  # firewall; such entries will *not* be listed here.

  *filter

  :INPUT ACCEPT [0:0]

  :FORWARD ACCEPT [0:0]

  :OUTPUT ACCEPT [0:0]

  :RH-Lokkit-0-50-INPUT - [0:0]

  -A INPUT -j RH-Lokkit-0-50-INPUT

  -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT

  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT

  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT

  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

  COMMIT

  以上配置允许了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口),domain端口。

  * 启动iptables

  /etc/init.d/iptables start

  * 设置iptables为自动启动

  chkconfig --level 2345 iptables on

  * 用iptables屏蔽IP

  iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

  注意到,和ipchains的区别是:

  -I 后面跟的规则名称的参数和ipchains不同,不是统一的input,而是在/etc/sysconfig/iptables里定义的那个

  多了-m tcp

  指定端口的参数是--dport 80

  多了--syn参数,可以自动检测sync攻击

  使用iptables禁止ping:

  -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT

  -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable

  允许某ip连接

  -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s 192.168.0.51 --syn -j ACCEPT

  注:具体的端口需要根据自己的网络来进行相应的修改。

文章评论

共有 位CH网友发表了评论 查看完整内容

特别推荐

最新信息