Linux iptables常见防护攻击措施

最新推荐文章于 2022-11-23 08:55:10 发布
最新推荐文章于 2022-11-23 08:55:10 发布
阅读量4.2k 收藏 2
点赞数
分类专栏: linux 文章标签: linux iptables 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010391029/article/details/50198673
版权

iptables防火墙实现阻挡常见攻击的实用设置分享
这篇文章主要介绍了iptables防火墙实现阻挡常见攻击的实用设置分享,本文讲解了防止 SYN 洪水攻击、丢弃 NULL 空数据包、丢弃异常的 XMAS 数据包、丢弃无效数据包等应对异常数据的设置方法,需要的朋友可以参考下

初始创建的 TCP 连接必须含 SYN


iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

丢弃 Fragments 碎片数据包 (碎片数据包攻击的后果: 可能导致正常数据包丢失)


iptables -A INPUT -f -j DROP

防止 SYN 洪水攻击 (限制的速度根据自身情况调整)



iptables -A INPUT -p tcp -m state --state NEW -m limit --limit 100/second --limit-burst 300 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j DROP

丢弃异常的 XMAS 数据包 (异常的 XMAS 数据包攻击的后果: 可能导致某些系统崩溃)


iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

丢弃 NULL 空数据包



iptables -A INPIT -p tcp --tcp-flags ALL NONE -j DROP

允许有限的 TCP RST 请求 (限制的速度根据自身情况调整)



iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 10/second --limit-burst 30 -j ACCEPT

丢弃无效数据包



iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP

阻挡欺诈 IP 地址的访问 (以下为 RFC1918 类型和 IANA 预留地址,多为 LAN 或者多播地址,这些是不可能作为公网地址源的)


代码如下:

iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -s 169.254.0.0/16 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -j DROP
iptables -A INPUT -d 224.0.0.0/4 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -j DROP
iptables -A INPUT -d 240.0.0.0/5 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -j DROP
iptables -A INPUT -d 239.255.255.0/24 -j DROP
iptables -A INPUT -d 255.255.255.255 -j DROP

阻挡自定义的恶意 IP 地址的访问



iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

禁止 ICMP PING

iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP
IT黑旋风
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LINUX IPTABLES防护
08-16
IPTABLESLINUX系统自带的防护脚本,是服务器防护的第一步,可用来限定IP地址和允许访问的应用服务。
iptables防火墙详解
Shawn的个人博客
04-07 3293
自定义链可以方便的管理不同的规则,方便后期规则的修改,但是需要注意的是,自定义链并不能直接使用,而是需要被默认链引用才能够使用。
IPTables应用
qq_56414082的博客
11-23 745
IPTables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过IPTables这个代理,将用户的安全设定执行到对于的“安全框架”中,这个“安全框架”才是真正的防火墙,这个框架的名字叫netfilter,netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。(2)iptables -A INPUT -j DROP //关闭所有入站流量,全部丢弃,包括SSH请求,先关闭在进行设置允许进入的规则,防火墙这样才有用。
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 2851
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天与 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
iptables用来防御flood攻击的命令_DDOS的几种攻击方式
weixin_39590453的博客
11-25 421
DDoS的攻击方式一种服务需要面向大众就需要提供用户访问接口,这些接口恰恰就给了黑客有可乘之机,如:可以利用TCP/IP协议握手缺陷消耗服务端的链接资源,可以利用UDP协议无状态的机制伪造大量的UDP数据包阻塞通信信道……可以说,互联网的世界自诞生之日起就不缺乏被DDoS利用的攻击点,从TCP/IP协议机制到CC、DNS、NTP反射类攻击,更有甚者利用各种应用漏洞发起更高级更精确的攻击。从DDoS...
DDOS攻击会带来什么危害?有什么应对策略?
chuwo0959的博客
07-17 2945
显而易见,DDoS 攻击直接造成了服务器瘫痪,而其破坏性的后果,远不止是短时间内的无法访问。 1,收入锐减 电商、借贷、游戏等网站,没有客户访问就没有收入,DDoS 攻击让企业失去业务机会。有调查数据显示,损失合同或运营终止是DDoS攻击的最严重后果,在遭遇过攻击的企业中,26%将其视为最大...
定位服务器数据丢弃包问题
weixin_45583158的博客
09-07 174
当某个服务器发生数据丢包时,它们肯定是由于某种原因。我们如何来分析为什么数据包丢失。以下是我们想要了解的情况:一个数据包进入您计算机的网络堆栈( RX )(例如在端口 8...
02.iptables攻击防御
bin080808jie的专栏
04-07 1481
DDOS 攻击 分布式拒绝服务(Distributed Denial of service) 多计算机联合发起DOS攻击,造成目标机器资源耗尽、系统过载 DDOS 攻击方式 Ping flood:大量ping包 Ping of Death:修改后的ping包,如造成逻辑错误、加长数据包使其超过IP报文限制 Teardrop attacks:损坏的IP包,如重叠的包或过大的包负荷 UDP Flood:大量udp小包 SYN flood.
详解Linux iptables 命令
09-15
iptablesLinux 管理员用来设置 IPv4 数据包过滤条件和 NAT 的命令行工具。这篇文章较详细的给大家介绍了Linux iptables 命令,非常不错,具有一定的参考借鉴价值,需要的朋友参考下吧
linux iptables介绍
07-15
linux iptables介绍
最全的iptable防火墙详解
08-30
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。 netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。[1]
Linux iptables防火墙实用模板
06-22
Linux iptables防火墙实用模板
Linux 防火墙软件 IPtables使用详解.docx
最新发布
11-09
Linux 防火墙软件 IPtables使用详解.docx
CentOS7防火墙改为iptables和20条IPTables防火墙规则用法
Java
12-02 1万+
CentOS 7 默认使用的是firewall作为防火墙,这里改为iptables防火墙。 1、关闭firewall systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 yum
linux如何查看丢弃数据包,导致Linux服务器丢弃数据包?
weixin_39747383的博客
05-12 918
我们使用Linux作为服务器操作系统时,为了达到高并发处理能力,充分利用机器性能,经常会进行一些内核参数的调整优化,但不合理的调整常常也会引起意想不到的其他问题,本文就一次Linux服务器丢包故障的处理过程,结合Linux内核参数说明和TCP/IP协议栈相关的理论,介绍一些常见的丢包故障定位方法和解决思路。问题现象本次故障的反馈现象是:从办公网访问公网服务器不稳定,服务器某些端口访问经常超时,但P...
LWN:更好地理解为何会丢弃网络包!
Linux News搬运工
03-10 364
关注了就能看到更多这么棒的文章哦~Better visibility into packet-dropping decisionsBy Jonathan CorbetFebruary 25...
利用iptables丢弃某ip数据包
zj0910
05-08 1万+
利用iptables丢弃某ip数据包 1      背景 测试的时候,有些需要模拟某设备和环境断连的场景(比如设备断连告警、主机代理断连告警),以前普遍的做法是去机房拔设备网线,这个方法真的很原始很暴力,验十六种设备的时候,真的有点崩溃啊,线拔了忘插回去也是有的。每当觉得方法很憋屈的时候,就真的该努力想想怎么“偷懒”了!查阅CSDN、BAIDU后,发现Linuxiptables可以简单的实现
Nginx 502 Bad Gateway 错误的原因及解决方法
热门推荐
我心如水
07-14 10万+
最近好多公司的网站遇到过502错误网页,自己总结了一下。  然后网上寻找了下答案, 把一些原因及解决方法汇总一下,以防生产环境下的502  会有好多种情况出现502错误,下面我们分情况来说一下。 一、fastcgi缓冲区设置过小  出现错误,首先要查找nginx的日志文件,目录为/var/log/nginx,在日志中发现了如下错误。 2013/01/17 13:33:47
Linux iptables
09-02
总结来说,Linux iptables是一个强大的防火墙工具,通过配置规则表和链,可以控制网络流量的传入和传出,从而保护计算机免受恶意攻击和未经授权的访问。通过设置默认规则和特定的规则,可以选择允许或拒绝特定类型的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值