网安技术与应用(4)——配置iptables防御常见攻击

最新推荐文章于 2023-12-12 09:39:29 发布
最新推荐文章于 2023-12-12 09:39:29 发布
阅读量2.7k 收藏 13
点赞数 4
分类专栏: 网络安全技术与应用 文章标签: ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Netceor/article/details/124476645
版权

一 实验目的

掌握如何设计防火墙的高级过滤策略以抵御各种类型的攻击。

二 实验内容

  1. 防止端口扫描;
  2. 防止 ping 攻击;
  3. 防止 ip 碎片攻击;
  4. 丢弃坏的 TCP包;
  5. 防止 SYN攻击。

三 实验原理

参见 网安技术与应用(3)——Linux防火墙iptables的使用

四 实验条件

1、仪器设备条件:PC 及其网络环境;

2、物质条件:Linux(kernel 2.6包含 Iptables);

3、相关文献资料:教学网站所提供的电子文档

五 实验过程

1、默认规则

# 启动防火墙
modprobe ip_tables
sudo ufw enable
sudo ufw reload
#清除规则 
sudo iptables -F
#设置默认规则为丢弃一切报文 
sudo iptables -P INPUT DROP 
sudo iptables -P OUTPUT DROP 
sudo iptables -P FORWARD DROP

2、防止端口扫描和Ping攻击

OUTPUT是关于虚拟机ping主机的设置,INPUT是关于主机ping虚拟机的设置。

1/s 10就是一秒钟不能发超过10个,1/m 10就是1分钟不能发超过10个,ping操作的通信1秒钟不可能达到发送10个,最多来回2-3次,但1分钟10次消息传输是完全有可能的

所以,只要OUTPUT或INPUT有一方设置了1/m 10,就会在发送10条消息后停止;如果2个都是1/s 10,就会永远ping下去

因为是双方的通信,所以output和input都要打开【accept】

sudo iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 用于测试
sudo iptables -A OUTPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# sudo iptables -A OUTPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT
# 防止 ping 攻击,允许每秒和每分钟一个包,触发条件是10个包
# sudo iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
sudo iptables -A INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT

image-20220408235250642

  • windows去ping虚拟机:
ping -l 65500 -t 192.168.85.128

image-20220409002232587

ping -l 10 -t 192.168.85.128

image-20220409002307777

image-20220409001119963

3、IP碎片控制

对于不管来自哪里的 ip 碎片都进行控制,允许每秒通过 100 个碎片 (触发条件是100个包)

sudo iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

image-20220409024305639

4、丢弃坏的TCP

sudo iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

image-20220409024321431

5、防止SYN攻击

防止 SYN攻击,限制SYN的请求速度为3个/s,触发条件为6个tcp报文

sudo iptables -N syn-flood
sudo iptables -A INPUT -p tcp --syn -j syn-flood
sudo iptables -A syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
sudo iptables -A syn-flood -j REJECT

image-20220409024347048

6、屏蔽指定IP

有时候我们发现某个ip不停的往服务器发包,这时我们可以使用以下命令,将指定ip发来的包丢弃

sudo iptables -F
BLOCK_THIS_IP="192.168.85.1"
sudo iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

image-20220409010024169

7、配置服务项

利用iptables,我们可以对日常用到的服务项进行安全管理,比如设定只能通过指定网段、由指定网口通过SSH连接本机

sudo iptables -A INPUT -i eth0 -p tcp -s 192.168.85.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -L

image-20220409010629338

8、网口转发配置

对于用作防火墙或网关的服务器,一个网口连接到公网,其他网口的包转发到该网口实现内网向公网通信,假设eth0连接内网,eth1连接公网,配置规则如下:

sudo iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

image-20220409010651852

六 思考题解答

(1)如何限制WPS联网服务? 如何限制网易云音乐的联网服务?

网易云限制

  • 下载网易云

    sudo dpkg -i netease-cloud-music_1.2.1_amd64_ubuntu_20190428.deb

  • 打开网易云,播放一首歌,并查看其占据的进程号

    netstat -anp | grep netease

  • image-20220409015933946

  • 将涉及到的服务器IP在IPtables中禁止

  • modprobe ip_tables
sudo iptables -I INPUT -s 59.111.181.52 -p tcp -j DROP
sudo iptables -I INPUT -s 117.167.98.146 -p tcp -j DROP
sudo iptables -I INPUT -s 120.226.29.35 -p tcp -j DROP
sudo iptables -I INPUT -s 59.111.181.35 -p tcp -j DROP
sudo iptables -I INPUT -s 59.111.19.33 -p tcp -j DROP
sudo iptables -I INPUT -s 36.158.208.102 -p tcp -j DROP
sudo iptables -I INPUT -s 36.158.208.101 -p tcp -j DROP
sudo iptables -I INPUT -s 59.111.160.195 -p tcp -j DROP
sudo iptables -I INPUT -s 117.167.98.147 -p tcp -j DROP
sudo iptables -I INPUT -s 111.45.68.154 -p tcp -j DROP
sudo iptables -I INPUT -s 36.158.208.105 -p tcp -j DROP

  • 设置后发现已经断网

  • image-20220409020451147

  • WPS限制

    • 下载WPS

      sudo dpkg -i wps-office_11.1.0.10920_amd64.deb

    • 查看WPS占据的进程号

      netstat -anp | grep wps

    • image-20220409022936576

    • 将涉及到的服务器IP在IPtables中禁止

      modprobe ip_tables
sudo iptables -I INPUT -s 110.43.89.138 -p tcp -j DROP
sudo iptables -I INPUT -s 120.92.103.226 -p tcp -j DROP
sudo iptables -I INPUT -s 120.241.92.117 -p tcp -j DROP
sudo iptables -I INPUT -s 120.232.170.41 -p tcp -j DROP
sudo iptables -I INPUT -s 183.214.1.252 -p tcp -j DROP
sudo iptables -I INPUT -s 120.131.2.130 -p tcp -j DROP
sudo iptables -I INPUT -s 111.31.36.189 -p tcp -j DROP
sudo iptables -I INPUT -s 121.36.23.203 -p tcp -j DROP
sudo iptables -I INPUT -s 111.31.36.189 -p tcp -j DROP
sudo iptables -I INPUT -s 120.92.74.246 -p tcp -j DROP
sudo iptables -I INPUT -s 120.92.34.89 -p tcp -j DROP
sudo iptables -I INPUT -s 39.156.80.78 -p tcp -j DROP
sudo iptables -I INPUT -s 120.92.106.21 -p tcp -j DROP
sudo iptables -I INPUT -s 110.43.67.230 -p tcp -j DROP
sudo iptables -I INPUT -s 120.232.170.41 -p tcp -j DROP
sudo iptables -I INPUT -s 183.214.1.252 -p tcp -j DROP
sudo iptables -I INPUT -s 120.131.2.130 -p tcp -j DROP
sudo iptables -I INPUT -s 111.31.36.189 -p tcp -j DROP
sudo iptables -I INPUT -s 121.36.23.203 -p tcp -j DROP
sudo iptables -I INPUT -s 111.31.36.189 -p tcp -j DROP
sudo iptables -I INPUT -s 120.92.74.246 -p tcp -j DROP
sudo iptables -I INPUT -s 110.43.89.138 -p tcp -j DROP

(2)在过滤规则条数很多的情况下,应该如何设计规则链表,来提高 Iptables的过滤效率?

iptables的规则匹配是按顺序匹配的,这就会造成随着规则数量的增加,效率会下降的问题,解决方向和方案如下:

① 管理IP

  • ipset:通过IP集合的方式管理itables,集合可以动态修改

    #创建一个名为myipset的集合,timeout 0允许新增IP带时间参数,最大存储IP数量是1000000
ipset create -exist myipset hash:net family inet hashsize 1024 maxelem 1000000 timeout 0
#添加一个关于ipset myipset的 iptables规则,
iptables -I INPUT -m set --match-set myipset src -j DROP
#添加IP 1.2.3.4到myset中,并且timeout是3600秒
ipset -exist add myipset 1.2.3.4 timeout 3600

② 管理规则

另一个方向是如何设置规则匹配数据包,使得大多数的不可能匹配的数据包不用去一一匹配每一条规则。基本上这种想法有两套方案:

  • 手动分类–自定义链:
    • 优点:可以自由定义规则筛选地址,拥有更大的灵活性
    • 缺点:需要配置者对本网络的流量类型很熟悉。比如说你想开放几个不连续的地址访问80端口,使用ipset有点大材小用了,但是你也不必写下如下的规则:
iptables -A FORWARD -s ip1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s ip2 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s ip3 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s ip4 -p tcp --dport 80 -j ACCEPT
如果你这么写了,那么每一个数据包都要匹配所有的规则,你要这么写:
iptables -N SB_FORWARD
iptables -A SB_FORWARD -s ip1 -j ACCEPT
iptables -A SB_FORWARD -s ip2 -j ACCEPT
iptables -A SB_FORWARD -s ip3 -j ACCEPT
iptables -A SB_FORWARD -s ip4 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j SB_FORWARD

如此一来,大多数数据包仅仅需要匹配一个规则即可,那就是最后的那条规则,一旦不匹配就不需要继续了。这实际上是将共同的东西抽象了出来,将线形的规则进行了分类。Netfilter提供了自定义链的机制来使用户可以将一维链表存储的规则放到多维链表中。

  • 自动分类–借助hipac算法:将报文分类抽象为多维的范围匹配问题,让内核自己分类数据包

    使用一个Netfilter新的包分类机制完成的,它自动进行包分类,使用多维的树来维护规则而不是使用一维链表,在匹配方式上不是用规则来匹配数据包,而是用基于多维树分类的数据包来匹配存于多维树的规则,在存在大量离散规则的情况下,效果显著

(3)分析若干种现有流行的攻击方法,如何有针对性地设计 Iptables 的高级过滤规则?

  • SYN攻击

    • 限制syn的请求速度:需要调节一个合理的速度值,不然会影响正常用户的请求

      iptables -N syn-flood 
iptables -A INPUT -p tcp --syn -j syn-flood 
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN 
iptables -A syn-flood -j DROP

    • 限制单个ip的最大syn连接数

      iptables –A INPUT –i eth0 –p tcp --syn -m connlimit --connlimit-above 15 -j DROP

  • DOS攻击:利用recent模块抵御DOS攻击

    • 单个IP最多连接3个会话

      iptables -I INPUT -p tcp -dport 22 -m connlimit --connlimit-above 3 -j DROP

    • 新的连接请求加入到SSH列表

      iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH

    • 5分钟内你的尝试次数达到3次,就拒绝提供SSH列表中的这个IP服务。被限制5分钟后即可恢复访问

      Iptables -I INPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP

  • 单个IP过度访问

    • iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

  • 木马反弹

    • iptables –A OUTPUT –m state --state NEW –j DROP

  • ping攻击

    • iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT

参考链接:

Linux桥设备以及iptables的效率的一些问题

使用iptables抵抗常见攻击

Netceor
关注
专栏目录
02.iptables攻击防御
bin080808jie的专栏
04-07 1545
DDOS 攻击 分布式拒绝服务(Distributed Denial of service) 多计算机联合发起DOS攻击,造成目标机器资源耗尽、系统过载 DDOS 攻击方式 Ping flood:大量ping包 Ping of Death:修改后的ping包,如造成逻辑错误、加长数据包使其超过IP报文限制 Teardrop attacks:损坏的IP包,如重叠的包或过大的包负荷 UDP Flood:大量udp小包 SYN flood.
iptables阻止服务器被攻击
weixin_33743703的博客
06-13 150
下列规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动:  # iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP  也可以很轻易地阻止所有流向攻击者IP地址的数据包,该命令稍有不同:  # iptables -t filter -A OUTPUT -d 123.456.789.0/24...
iptables自动防御攻击
iuRzz's blog
12-15 123
iptables自动防御攻击
DOS/DDOS攻击iptables主动防御
atec2000的专栏
10-16 6133
1.限制与80端口连接的IP最大连接数为10,可自定义修改。  代码如下 复制代码 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP 2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables
Linux iptables防攻擊使用
purpen
07-29 131
虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有SYN,DDOS等。通過更換IP,查找被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底的解決方法是添置硬件防火牆。不過,硬件防火牆價格比較昂貴。可以考慮利用Linux系統本身提供的防火牆功能來防禦。 1. 抵禦SYN SYN攻擊是利用TCP/IP協議3次握手的原理,發送大量的建立連接的網絡包,但不實際建立連接,最...
深入解析iptables防火墙配置与实战应用
最新发布
10-11
内容涵盖了iptables的不同应用场景、各种常见网络攻击防御(如SYN Flood攻击)、实用配置技巧及其与其他安全系统的整合使用等方面的内容。通过理论讲解与实战练习的组合形式帮助用户全面了解iptables。 适合人群:...
网络安全课程设计之D防火墙——Iptables.docx
09-17
(4)在 INPUT 链增加一条规则,丢弃所有从 eth0 接口进入 iptables 主机的 ICMP 报文;在 OUTPUT 链增加一条规则,丢弃所有从 eth0 接口发出的 ICMP 报文。 (5)自定义一条链,在该链中添加规则。通过内置链引用...
《Linux互联网技术》项目10 Linux防火墙实现——iptables1.pptx
11-29
《Linux互联网技术》项目10 Linux防火墙实现——iptables1.pptx
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 3339
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天与 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
网络安全——Iptables防DDoS攻击实验
网络工程
12-12 2161
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
常见IP碎片攻击详解.pdf
11-02
常见IP碎片攻击详解
iptables防DDOS攻击和CC攻击设置
亘优科技
08-09 977
防范DDOS攻击脚本 #防止SYN攻击 轻量级预防  iptables -N syn-flood  iptables -A INPUT -p tcp --syn -j syn-flood  iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN  iptables -A syn-flood
使用iptables抵抗常见攻击
韦编二绝
01-10 6882
文章出处:http://drops.wooyun.org/tips/1424#yjs_add_arg=65871 1.  防止syn攻击 思路一:限制syn的请求速度(这个方式需要调节一个合理的速度值,不然会影响正常用户的请求) iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptabl
使用iptables拒绝恶意攻击
Steven的博客
10-11 1248
平时在家需要远程维护的时候我都是通过公司的跳板机连接回公司。公司使用的是固定IP,我在公司的VPN上做了一个端口映射,使用ssh远程过去。昨天学习了使用lastb去查看失败的登录,然后到公司的跳板机上去运行lastb,我了个去,里面记录了三个IP登录失败的信息,其中有一个IP 一个下午失败了1230次 运行命令: lastb |awk '{print $3,$5,$6}'|sort|grep '^
iptables防火墙使用技巧总结:提高网络安全性
漠效的博客
10-24 772
前言 某天看见内网服务器上一个ptables转发规则,突然想要总结一下iptables。。。 iptables应用环境 简述一下了解到的目前 部分 公司 基本的安全措施: <1>cisco、华为…硬件防火墙保护网络安全、安全策略、异常流量监控 (云服务器:安全组,云盾) <2>jumpserver限制用户登录权限,操作记录 (云服务器:分配子账号进行权限控制) <3>tcp_warpper对ssh,ftp等服务提供访问控制,iptables/firewall
使用iptables防ddos攻击的问题
fanzhang1990的专栏
07-23 7526
最近要求做一个防ddos攻击
iptables 防止DoS攻击
weixin_30640291的博客
07-14 406
SYN洪水是攻击者发送海量的SYN请求到目标服务器上的一种DoS攻击方法,下面的脚本用于预防轻量级的DoS攻击:ipt-tcp.sh: iptables -N syn-flood (如果您的防火墙默认配置有“ :syn-flood - [0:0] ”则不许要该项,因为重复了) iptables -A INPUT -p tcp --syn -j syn-flood iptables ...
Iptables netstat 防御简单dos攻击
centos的博客
10-18 904
DoS攻击或者DDoS攻击是试图让机器或者网络资源不可用的攻击。这种攻击攻击目标网站或者服务通常是托管在高防服务器比如银行,信用卡支付网管,甚至根域名服务器,DOS攻击的实施通常迫使目标重启计算机或者消耗资源,使他们不再提供服务或者妨碍用户,访客访问。 在这篇小文章中,你可以知道在受到攻击之后如何在终端中使用netstat命令检查你的服务器。 一些例子和解释 netstat -na
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值