Linux防火墙中的IP地址欺骗问题基本防范
通常遇到一些在设定防火墙规则时,经常忽略掉IP欺骗攻击的问题,什么是IP欺骗呢﹖ 以上这个问题是肯定的, l Localhost IP 在IP欺骗的攻击中,127.0.0.1这个IP也是常被拿来伪装的对象,我们可以在防火墙规则中加入以下的规则,以滤除这类的IP欺骗的攻击. iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP l Private IP 在Internet IP的划分上,将IP划分成Class A、B、C三个区段,而在每个层级的Class中都有保留一段Private IP,如果我们从因特网上收到从Private IP区段送来的封包,皆可视为不正常的来源封包,因此,我们可以在防火墙规则中加入以下的规则,以滤除这类的IP欺骗的攻击. iptables -A INPUT -p all -s iptables -A INPUT -p all -s 172.16.0.0/12 -j DROP iptables -A INPUT -p all -s 192.168.0.0/16 -j DROP l MULTICAST IP MULTICAST通常用于音讯或视讯讯号的传送,而MULTICAST封包所使用的IP网段为224.0.0.0/4,且封包传输协议一定为UDP,如果有封包来自于224.0.0.0/4区段,而其传输协议为UDP以外的协议,即可将之丢弃掉.我们可以在防火墙规则中加入以下的规则,以滤除这类IP欺骗的攻击. iptables -A INPUT -p ! udp -s 224.0.0.0/4 -j DROP IP,其参数及修改方式如下﹕ for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $i done 如此一来,Linux核心就可自动滤除这类封包了. |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
请教您一个问题,如果图中防火墙的规则为
