1.过滤传入的数据包
1.远程源地址过滤(源IP):
有几类源地址(源ip),不论任何情况下,您都应该在您的外部接口中拒接它们,它们是声称来自下面传入的数据包。
1 你的ip地址
2 你的局域网地址 (很少有合法的包,声称来自于您的局域网,但却在外部的互联网接口上被接收)
3 A,B,C类地址中的私有IP地址它们不会再互联网上使用
4 D类组播IP地址
5.E类的保留地址
6 回环接口地址
7 畸形的广播地址
8.A类网络0地址
9.链路本地网络地址
10运营商级NAT
11测试网络地址
2.阻止问题站点
3.传入tcp
4.探测和扫描
探测通常指尝试连接或尝试从一个单独的服务端口获得响应。扫描是对一组不同的服务端口进行的一系列探测。扫描通常是自动的。
5.定向端口扫描
目标端口寻找特定的漏洞。这些工具被设计用来确认目标是否可能存在一个特定的漏洞。
从保留端口号0传入的数据包总是伪造的,这个端口是不能被合法使用的
对TCP端口0~5的探测是端口扫描程序的标志
6 避免偏执:响应端口扫描
防火墙日志通常会显示所有类型的失败的连接尝试。探测将是您在日志报告中看到的最常见的东西
7.拒绝服务攻击
DOS:用数据包淹没您的系统,以打扰或严重地使您的互联网连接降级,捆绑本地服务以导致合法的请求不能被响应,或更严重地,使您的系统一起崩溃。两个最常见的结果便是是系统过于忙碌而不能执行任何有用的业务并且占尽关键系统资源。
这些攻击包含多种类型:TCP SYN泛洪 ping泛洪 UDP泛洪 分片炸弹,缓冲区溢出 和ICMP路由重定向炸弹。
TCP SYN泛洪攻击
攻击者将他/她的源地址伪装为一个私有地址并向您基于TCP的服务发起一个连接请求。不断给您发送一个人生成sys消息,然后您不断用sys-ack作为响应,攻击者不会用ACK回应,使有限的网络连接资源被消耗。使连接一直保持半打开的状态。
ping 泛洪
任何会引起您的计算机发出的响应的消息均可以被用于降低您的网络表现,其原理是强制系统消耗大多数时间进行无用的应答。完成此任务的一种方法是将源地址伪装成受害者的源地址并向整个主机所在的网络广播echo请求。一条欺骗性的请求消息能够造成数百或数千计的响应被发送到受害者处。另外一种达成相似结果的方法是在互联网上被盗用的主机里安装木马程序,并定时间向一台主机发送echo请求。
UDP泛洪
UDP协议格外适合用于Dos工具。不同于TCP,UDP是无状态的。由于没有流控制的机制,他不存在连接的状态标志。数据包序号也没有。没有任何信息被维护以指明下一个期望到来的数据包。并不总有方法根据端口号将端口号将服务器和客户端的流量区分开来。由于不存在状态,也没有把期望的到来的响应和出乎意料的来路不明的数据包区分开来。很容易使系统忙于对传入的UDP探测进行响应,以至于没有带宽留给正当的网络流量。
分片炸弹
一种分片攻击涉及人为构造的非常小的数据包。一个字节的数据包会导致一些操作系统的崩溃。
一种对小分片的使用是构造最初的分片。使得UDP和TCP的源端口和目的端口都包含在第二个分片中。数据包过滤防火墙通常会允许这些分片通过,因为他们过滤所基于的信息还未呈现。
iptables 特性
filter表是实现基本的防火墙的默认表,nat表用来提供NAT和相关的功能,mangle在数据包被防火墙修改时使用。
mangle表有5个内建的表
PREROUTING规则链指定了对到达接口的传入数据包所做的修改,它在任何路由或本地交付决定之前进行。
INPUT:指定了对数据包进行处理时所做的修改,但这要在PREROUTING规则链被遍历之后
POSTROUTING规则链指定了对离开防火墙的数据包所做的修改,它在OUTPUT链之后进行
FORWARD规则链指定了对通过防火墙进行转发的数据包所做的修改
OUTPUT规则链指定了对本地产生的传出数据包所做的修改
对于TOS字段来说,本地Linux路由器能够被配置用以支持mangle表或本地主机设置的TOS标志。
3501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
