用Linux系统防火墙功能抵御网络攻击.doc

用 Linux 系统防火墙功能抵御网络攻击[ 作者: 加入时间 :2006-12-08 10:35:26 来自: Linux 联盟收集 ]虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有 SYN，DDOS 等通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长比较彻底的解决方法是添置硬件防火墙不过，硬件防火墙价格比较昂贵可以考虑利用 Linux 系统本身提供的防火墙功能来防御1. 抵御 SYNSYN 攻击是利用 TCP/IP 协议 3 次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问Linux 内核提供了若干 SYN 相关的配置，用命令：sysctl -a | grep syn看到：net.ipv4.tcp_max_syn_backlog = 1024net.ipv4.tcp_syncookies = 0net.ipv4.tcp_synack_retries = 5net.ipv4.tcp_syn_retries = 5tcp_max_syn_backlog 是 SYN 队列的长度，tcp_syncookies 是一个开关，是否打开 SYN Cookie 功能，该功能可以防止部分 SYN 攻击。

tcp_synack_retries 和 tcp_syn_retries 定义 SYN 的重试次数加大 SYN 队列长度可以容纳更多等待连接的网络连接数，打开 SYN Cookie 功能可以阻止部分 SYN攻击，降低重试次数也有一定效果调整上述设置的方法是：增加 SYN 队列长度到 2048：sysctl -w net.ipv4.tcp_max_syn_backlog=2048 打开 SYN COOKIE 功能：sysctl -w net.ipv4.tcp_syncookies=1降低重试次数：sysctl -w net.ipv4.tcp_synack_retries=3sysctl -w net.ipv4.tcp_syn_retries=3为了系统重启动时保持上述配置，可将上述命令加入到/etc/rc.d/rc.local 文件中2. 抵御 DDOSDDOS，分布式拒绝访问攻击，是指黑客组织来自不同来源的许多主机，向常见的端口，如 80，25 等发送大量连接，但这些客户端只建立连接，不是正常访问由于一般 Apache 配置的接受连接数有限（通常为 256），这些“假” 访问会把 Apache 占满，正常访问无法进行。

Linux 提供了叫 ipchains 的防火墙工具，可以屏蔽来自特定 IP 或 IP 地址段的对特定端口的连接使用ipchains 抵御 DDOS，就是首先通过 netstat 命令发现攻击来源地址，然后用 ipchains 命令阻断攻击发现一个阻断一个 打开 ipchains 功能首先查看 ipchains 服务是否设为自动启动：chkconfig --list ipchains输出一般为：ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off如果 345 列为 on，说明 ipchains 服务已经设为自动启动如果没有，可以用命令：chkconfig --add ipchains将 ipchains 服务设为自动启动其次，察看 ipchains 配置文件/etc/sysconfig/ipchains 是否存在如果这一文件不存在，ipchains即使设为自动启动，也不会生效缺省的 ipchains 配置文件内容如下：# Firewall configuration written by lokkit# Manual customization of this file is not recommended.# Note: ifup-post will punch the current nameservers through the# firewall; such entries will *not* be listed here.:input ACCEPT:forward ACCEPT:output ACCEPT-A input -s 0/0 -d 0/0 -i lo -j ACCEPT# allow http,ftp,smtp,ssh,domain via tcp; domain via udp-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT# deny icmp packet#-A input -p icmp -s 0/0 -d 0/0 -j DENY# default rules-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT如果/etc/sysconfig/ipchains 文件不存在，可以用上述内容创建之。

创建之后，启动 ipchains 服：/etc/init.d/ipchains start*** 用 netstat 命令发现攻击来源假如说黑客攻击的是 Web 80 端口，察看连接 80 端口的客户端 IP 和端口，命令如下：netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort输出：161.2.8.9:123 FIN_WAIT2161.2.8.9:124 FIN_WAIT261.233.85.253:23656 FIN_WAIT2...第一栏是客户机 IP 和端口，第二栏是连接状态如果来自同一 IP 的连接很多（超过 50 个），而且都是连续端口，就很可能是攻击如果只希望察看建立的连接，用命令：netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort*** 用 ipchains 阻断攻击来源用 ipchains 阻断攻击来源，有两种方法。

一种是加入到/etc/sysconfig/ipchains 里，然后重启动 ipchains服务另一种是直接用 ipchains 命令加屏蔽之后，可能还需要重新启动被攻击的服务，是已经建立的攻击连接失效* 加入/etc/sysconfig/ipchains假定要阻止的是 218.202.8.151 到 80 的连接，编辑/etc/sysconfig/ipchains 文件，在:output ACCEPT行下面加入：-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT保存修改，重新启动 ipchains：/etc/init.d/ipchains restart如果要阻止的是 218.202.8 的整个网段，加入：-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT* 直接用命令行加入/etc/sysconfig/ipchains 文件并重起 ipchains 的方法，比较慢，而且在 ipchains 重起的瞬间，可能会有部分连接钻进来最方便的方法是直接用 ipchains 命令。

假定要阻止的是 218.202.8.151 到 80 的连接，命令：ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT如果要阻止的是 218.202.8 的整个网段，命令：ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT其中，-I 的意思是插入，input 是规则连，1 是指加入到第一个您可以编辑一个 shell 脚本，更方便地做这件事，命令：vi blockit内容：#!/bin/shif [ ! -z "$1" ] ; thenecho "Blocking: $1"ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECTelseecho "which ip to block?"fi保存，然后：chmod 700 blockit使用方法：./blockit 218.202.8.151./blockit 218.202.8.0/255.255.255.0上述命令行方法所建立的规则，在重起之后会失效，您可以用 ipchains-save 命令打印规则:ipchains-save输出：:input ACCEPT:forward ACCEPT:output ACCEPTSaving `input'.-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:。