Linux系统下的DDOS攻击防范
| chkconfig --add ipchains
将ipchains服务设为自动启动 其次,察看ipchains配置文件/etc/sysconfig/ipchains是否存在.如果这一文件不存在,ipchains 即使设为自动启动,也不会生效.缺省的ipchains配置文件内容如下: # Firewall configuration written by lokkit # Manual customization of this file is not recommended. # Note: ifup-post will punch the current nameservers through the # firewall; such entries will *not* be listed here. :input ACCEPT :forward ACCEPT utput ACCEPT -A input -s 0/0 -d 0/0 -i lo -j ACCEPT # allow http,ftp,smtp,ssh,domain via tcp; domain via udp -A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT -A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT # deny icmp packet #-A input -p icmp -s 0/0 -d 0/0 -j DENY # default rules -A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT -A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT -A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT -A input -p udp -s 0/0 -d 0/0 2049 -j REJECT -A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT -A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT 如果/etc/sysconfig/ipchains文件不存在,可以用上述内容创建之.创建之后,启动ipchains服务: /etc/init.d/ipchains start *** 用netstat命令发现攻击来源 假如说黑客攻击的是Web 80端口,察看连接80端口的客户端IP和端口,命令如下: netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk ''{printf "%s %sn",$5,$6}'' | sort 输出: 161.2.8.9:123 FIN_WAIT2 161.2.8.9:124 FIN_WAIT2 61.233.85.253:23656 FIN_WAIT2 ... 第一栏是客户机IP和端口,第二栏是连接状态 如果来自同一IP的连接很多(超过50个), http://bbs.92bbs.net/read-tid-31313.html 如果只希望察看建立的连接,用命令: netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk ''{printf "%s %sn",$5,$6}'' | sort *** 用ipchains阻断攻击来源 用ipchains阻断攻击来源,有两种方法.一种是加入到/etc/sysconfig/ipchains里,然后重启动ipchains服务.另一种是直接 用ipchains命令加.屏蔽之后,可能还需要重新启动被攻击的服务,使已经建立的攻击连接失效 * 加入/etc/sysconfig/ipchains 假定要阻止的是218.202.8.151到80的连接,编辑/etc/sysconfig/ipchains文件,在utput ACCEPT 行下面加入: -A input -s 218.202.8.151 -d 0/0 http -y -j REJECT 保存修改,重新启动ipchains: /etc/init.d/ipchains restart 如果要阻止的是218.202.8的整个网段,加入: -A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT * 直接用命令行 加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢, 可能会有部分连接钻进来.最方便的方法是 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
都是连续端口,就很可能是攻击.
