网安技术与应用(4)——配置iptables防御常见攻击

iptables防火墙配置实践:抵御各类网络攻击
最新推荐文章于 2024-07-20 19:02:24 发布
原创 最新推荐文章于 2024-07-20 19:02:24 发布 · 3k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu

本文详细介绍了如何使用iptables配置Linux防火墙,以防止端口扫描、ping攻击、IP碎片攻击、丢弃坏TCP包、SYN攻击等。通过限制速率、设置规则链和使用ipset等方法,提升网络安全。同时,针对特定服务如WPS和网易云音乐的IP进行封锁,以及分析抵御DOS攻击的策略。此外,文章还探讨了在规则数量多时如何优化iptables的过滤效率,包括规则链的管理和使用hipac算法。

一 实验目的

掌握如何设计防火墙的高级过滤策略以抵御各种类型的攻击。

二 实验内容

  1. 防止端口扫描;
  2. 防止 ping 攻击;
  3. 防止 ip 碎片攻击;
  4. 丢弃坏的 TCP包;
  5. 防止 SYN攻击。

三 实验原理

参见 网安技术与应用(3)——Linux防火墙iptables的使用

四 实验条件

1、仪器设备条件:PC 及其网络环境;

2、物质条件:Linux(kernel 2.6包含 Iptables);

3、相关文献资料:教学网站所提供的电子文档

五 实验过程

1、默认规则

# 启动防火墙
modprobe ip_tables
sudo ufw enable
sudo ufw reload
#清除规则 
sudo iptables -F
#设置默认规则为丢弃一切报文 
sudo iptables -P INPUT DROP 
sudo iptables -P OUTPUT DROP 
sudo iptables -P FORWARD DROP

2、防止端口扫描和Ping攻击

OUTPUT是关于虚拟机ping主机的设置,INPUT是关于主机ping虚拟机的设置。

1/s 10就是一秒钟不能发超过10个,1/m 10就是1分钟不能发超过10个,ping操作的通信1秒钟不可能达到发送10个,最多来回2-3次,但1分钟10次消息传输是完全有可能的

所以,只要OUTPUT或INPUT有一方设置了1/m 10,就会在发送10条消息后停止;如果2个都是1/s 10,就会永远ping下去

因为是双方的通信,所以output和input都要打开【accept】

sudo iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 用于测试
sudo iptables -A OUTPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# sudo iptables -A OUTPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT
# 防止 ping 攻击,允许每秒和每分钟一个包,触发条件是10个包
# sudo iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
sudo iptables -A INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT

image-20220408235250642

  • windows去ping虚拟机:
ping -l 65500 -t 192.168.85.128

image-20220409002232587

ping -l 10 -t 192.168.85.128

image-20220409002307777

最低0.47元/天 解锁文章
2024全国职业技能大赛-网络安全赛题解析———防火墙篇iptables(超详细)_网络安全职业技能大赛 请提交iptables允许ssh端口10022通过的命令(1)
2301_77033672的博客
05-02 961
3.Linux系统禁用23端口;4.Linux系统禁止别人ping通;5.Linux系统为确保安全禁止所有人连接ssh除了192.168.1.1这个ip;6.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包;7.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;8.禁止本机ping任何机器;9.禁止任何机器ping本机;10.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的
02.iptables攻击防御
bin080808jie的专栏
04-07 1691
DDOS 攻击 分布式拒绝服务(Distributed Denial of service) 多计算机联合发起DOS攻击,造成目标机器资源耗尽、系统过载 DDOS 攻击方式 Ping flood:大量ping包 Ping of Death:修改后的ping包,如造成逻辑错误、加长数据包使其超过IP报文限制 Teardrop attacks:损坏的IP包,如重叠的包或过大的包负荷 UDP Flood:大量udp小包 SYN flood.
Linux iptables防攻擊使用
purpen
07-29 172
虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有SYN,DDOS等。通過更換IP,查找被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底的解決方法是添置硬件防火牆。不過,硬件防火牆價格比較昂貴。可以考慮利用Linux系統本身提供的防火牆功能來防禦。 1. 抵禦SYN SYN攻擊是利用TCP/IP協議3次握手的原理,發送大量的建立連接的網絡包,但不實際建立連接,最...
iptables阻止服务器被攻击
weixin_33743703的博客
06-13 202
下列规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动:  # iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP  也可以很轻易地阻止所有流向攻击者IP地址的数据包,该命令稍有不同:  # iptables -t filter -A OUTPUT -d 123.456.789.0/24...
iptables自动防御攻击
iuRzz's blog
12-15 201
iptables自动防御攻击
DOS/DDOS攻击iptables主动防御
atec2000的专栏
10-16 6224
1.限制80端口连接的IP最大连接数为10,可自定义修改。  代码如下 复制代码 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP 2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 3827
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
网络安全——Iptables防DDoS攻击实验
网络工程
12-12 2908
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
北邮 网络安全 期末复习 知识点总结之防火墙
weixin_45746630的博客
01-27 4039
防火墙 访问控制 定义 访问控制(Access Control)指系统对用户身份及其所属的预先 定义的策略组限制其使用数据资源能力的手段。 两个任务 访问控制需要完成两个任务:识别和确认访问系统的用户、决定 该用户可以对某一系统资源进行何种类型的访问。 三要素 主体S(Subject) 提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者, 客体O(Object) 被访问资源的实体 控制策略A(Attribution) 主体对客体的相关访问规则集合,即属性集...
Linux系统入门进阶视频教程合集
甚至渗透测试相关命令演练(需强调合法合规使用),这“道德网安_Linux系列教程(共22课)”的命名相呼应——即从网络安全防御角度出发,教授如何加固系统、识别潜在威胁。 进一步分析,“系统管理”作为核心实践...
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
常见IP碎片攻击详解.pdf
11-02
常见IP碎片攻击详解
网络安全名词解释&操作系统
最新发布
m0_73245690的博客
07-20 1662
系统用户包括本地用户、网络用户和系统管理员,用于执行系统操作和管理任务。用户组用于将多个用户组织在一起,以便统一管理权限和资源访问。服务用户是专门为运行服务或应用程序创建的账户,需要根据服务的要求配置相应的权限。Windows Defender 防火墙(Windows 系统)(Linux 系统)pf(FreeBSD / macOS 系统)这些防火墙通常提供基本的网络保护功能,并允许用户配置详细的规则来控制流量。出站规则和入站规则分别控制从计算机发出的流量和进入计算机的流量。
北邮网络安全-防火墙
buctwx的博客
03-03 1228
北邮网安复试之防火墙
iptables防DDOS攻击和CC攻击设置
亘优科技
08-09 1052
防范DDOS攻击脚本 #防止SYN攻击 轻量级预防  iptables -N syn-flood  iptables -A INPUT -p tcp --syn -j syn-flood  iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN  iptables -A syn-flood
使用iptables抵抗常见攻击
韦编二绝
01-10 7025
文章出处:http://drops.wooyun.org/tips/1424#yjs_add_arg=65871 1.  防止syn攻击 思路一:限制syn的请求速度(这个方式需要调节一个合理的速度值,不然会影响正常用户的请求) iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptabl
iptables 如何防止 syn ddos ping 攻击
Free雅轩的博客
11-23 397
说明:第一行:每秒中最多允许5个新连接。第二行:防止各种端口扫描。第三行:Ping洪水攻击(Ping of Death),可以根据需要调整或关闭。Ping洪水攻击(Ping of Death)防止同步包洪水(Sync Flood)配置防火墙防止syn,ddos攻击。在iptables中加入下面几行。怎么防止别人ping我?限制对内部封包的发送速度。
使用iptables拒绝恶意攻击
Steven的博客
10-11 1389
平时在家需要远程维护的时候我都是通过公司的跳板机连接回公司。公司使用的是固定IP,我在公司的VPN上做了一个端口映射,使用ssh远程过去。昨天学习了使用lastb去查看失败的登录,然后到公司的跳板机上去运行lastb,我了个去,里面记录了三个IP登录失败的信息,其中有一个IP 一个下午失败了1230次 运行命令: lastb |awk '{print $3,$5,$6}'|sort|grep '^
iptables防火墙使用技巧总结:提高网络安全
漠效的博客
10-24 919
前言 某天看见内网服务器上一个ptables转发规则,突然想要总结一下iptables。。。 iptables应用环境 简述一下了解到的目前 部分 公司 基本的安全措施: <1>cisco、华为…硬件防火墙保护网络安全、安全策略、异常流量监控 (云服务器:安全组,云盾) <2>jumpserver限制用户登录权限,操作记录 (云服务器:分配子账号进行权限控制) <3>tcp_warpper对ssh,ftp等服务提供访问控制,iptables/firewall
iptables防火墙配置常见规则详解
总结来说,这份文档提供了iptables配置的实战指南,用户可以根据自己的网络环境和安全需求,灵活应用这些规则来增强网络安全、限制不必要的网络流量,以及监控和应对潜在的攻击行为。通过理解和调整这些规则,管理员...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值