Iptables之recent模块小结

 

Iptables的recent模块用于限制一段时间内的连接数, 是谨防大量请求攻击的必杀绝技! 善加利用该模块可充分保证服务器安全。

recent常用参数
--name      设定列表名称，即设置跟踪数据库的文件名. 默认DEFAULT;
--rsource   源地址，此为默认。 只进行数据库中信息的匹配，并不会对已存在的数据做任何变更操作;
--rdest       目的地址;
--seconds  指定时间内. 当事件发生时，只会匹配数据库中前"几秒"内的记录，--seconds必须与--rcheck或--update参数共用;
--hitcount   命中次数. hits匹配重复发生次数，必须与--rcheck或--update参数共用;
--set           将地址添加进列表，并更新信息，包含地址加入的时间戳。 即将符合条件的来源数据添加到数据库中，但如果来源端数据已经存在，则更新数据库中的记录信息;
--rcheck     检查地址是否在列表，以第一个匹配开始计算时间;
--update    和rcheck类似，以最后一个匹配计算时间。 如果来源端的数据已存在，则将其更新；若不存在，则不做任何处理;
--remove   在列表里删除相应地址，后跟列表名称及地址。如果来源端数据已存在，则将其删除，若不存在，则不做任何处理;

recent模块需要注意的地方
a)  目录/proc/net/下的xt_recent目录是在启用recent模块之后才有的，如果没有在iptables中使用recent模块，/proc/net/目录中是没有xt_recent目录的;
b)  因recent模块最多只能记录20条记录，所以当源发送的数据包超过20后，recent模块的计数器会立刻减掉20，这也就是为什么old_packets的值就总是处于1-20之间;
c)  如果配合seconds参数使用的是--rcheck参数而不是--update，则recent模块会从收到第一个数据包开始计算阻断时间，而--update是从收到的最后一个数据包开始计算阻断时间，即如果服务器在8点收到了源发出第一个icmp数据包，在8点15分收到源发出的第20个数据包，如果使用的是--rcheck参数，那么8点半的时候，用户就又可以发送icmp数据包了，如果使用是--update参数，则用户必须等到8点40才能发送icmp数据包;
d)  当源发送数据包的个数大于或等于recent模块的hitcount参数所指定的值时，相应的iptables规则才会被激活;

recent命令大体有如下三个排列组合
--set句在前，--update（或--rcheck）句在后;
--update（或--rcheck）句在前，--set句在后;
--set句带或不带-j ACCEPT。基本是上面这三项的排列组合;

下面通过几个案例进行说明
1)  利用iptables的recent模块来抵御简单的DOS攻击, 下面以限制ssh远程连接为例

iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds  300 --hitcount 3 --name SSH -j DROP

以上三条规则的解释如下：
a) 利用connlimit模块将单IP的并发设置为3；会误杀使用NAT上网的用户，可以根据实际情况增大该值；
b) 利用recent和state模块限制单IP在300s内只能与本机建立3个新连接。被限制一分钟后即可恢复访问。
c) 第一句是记录访问tcp 22端口的新连接，记录名称为SSH, --set 记录数据包的来源IP，如果IP已经存在将更新已经存在的条目
d) 第三句是指SSH记录中