iptables技巧之防止欺骗攻击

最新推荐文章于 2024-03-19 23:48:57 发布
最新推荐文章于 2024-03-19 23:48:57 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux安全 文章标签: input tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chinalinuxzend/article/details/1453597
1, 验证tcp标志位,
     如下:
     -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
-A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
-A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

为什么这样做?
我不多做解释了,如果有人不懂的话请复习一下tcp/ip的知识,
  附上一个链接 http://www.fengnet.com/showart.asp?art_id=136&cat_id=9

2,验证ip地址来源
    -A INPUT -s your.external.ip.address -j DROP
ARP欺骗技术:DNS欺骗与HTTP重定向_(13).ARP欺骗与DNS欺骗结合攻击
chenlz2007的博客
11-14 749
ARP协议用于将IP地址解析为物理(MAC)地址。在网络中,每个设备都有一个唯一的MAC地址,而IP地址则是用于网络层通信的地址。当一个设备需要与另一个设备通信时,它会发送一个ARP请求,询问目标IP地址对应的MAC地址。目标设备收到请求后,会发送一个ARP响应,告知自己的MAC地址。DNS(Domain Name System)协议用于将域名解析为IP地址。当用户访问一个网站时,浏览器会向DNS服务器发送查询请求,DNS服务器会返回相应的IP地址。ettercap。
ARP欺骗技术:DNS欺骗与HTTP重定向_(12).HTTP重定向的防御措施
chenlz2007的博客
11-14 704
在前一节中,我们讨论了如何利用ARP欺骗技术进行DNS欺骗和HTTP重定向。本节将重点介绍HTTP重定向的防御措施,以帮助网络管理员和开发者保护网络和应用程序免受此类攻击的影响。
防cc攻击脚本配合iptables
12-21
linux上防cc攻击,本脚本配置iptables使用,安装cckiller -i,卸载cckiller -U
防止ARP欺骗
weixin_33853794的博客
08-17 356
前言:曾经因为宿舍里面的同学经常熬夜打游戏,好言相劝不管用,无奈之下使用arp欺骗×××他们的主机,使之晚上11点之后游戏延迟,掉线,最后,一到11点同学们就都上床睡觉了。防止arp欺骗的三种思路:在主机上静态绑定mac地址在主机上arp防火墙利用交换机的防arp欺骗技术,比如DAI在windows主机上静态绑定mac地址:在linux主机上静态绑定mac地址:在路由器上做M...
Linux下使用arptables阻止arp欺骗—轻舞飞扬
weixin_34315485的博客
10-23 225
http://sourceforge.net/projects/ebtables/files/arptables/ tar xvzf arptables-v0.0.4.tar.gz cd arptables-v0.0.4makemake install命令程序[root@extmail~]# ls /usr/local/sbin/arptables*/usr...
网络安全——Iptables防DDoS攻击实验
网络工程
12-12 2716
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
iptables防DDOS攻击和CC攻击设置
亘优科技
08-09 1026
防范DDOS攻击脚本 #防止SYN攻击 轻量级预防  iptables -N syn-flood  iptables -A INPUT -p tcp --syn -j syn-flood  iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN  iptables -A syn-flood
运维工具之iptables命令
m0_60981735的博客
01-16 1908
粗略的介绍了一下iptables的原理规则以及在实际运维场景中如何使用
防火墙技术-iptables
m0_51586984的博客
03-19 1099
线路1:网络1进入,网络1出去;线路2:网络1进入,网络2出去;线路3:网络1转发,网络2转发白名单:只有哪些人可以访问;黑名单:只有哪些人不能访问。iptables有四表五链流入 PREROUTING---> INPUT流出 OUTPUT ---> POSTROUTING转发 PREROUTING ---> FORWARD ---> POSTROUTING优先级次序:Raw(跟踪)>mangle(标记)>nat(修改)>fliter(过滤)规则链之间的顺序。
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
linux然后防止ip欺骗,linux – 如何在iptables防止ip欺骗
weixin_30068505的博客
05-05 406
我在Linux上的Apache Web服务器被大量不存在文件的请求所困扰.直接影响是访问和访问的快速增长.错误日志.我已经通过不记录这些请求(如果它与特定字符串匹配)来处理这个问题.我们从多个IP地址(对于同一个文件)谈论每秒40到50个请求.我最初认为它是一个僵尸网络,但我相信它是一些脚本小子欺骗源IP.我在服务器上运行iptables,我想知道,这些数据包如何绕过TCP / IP初始握手到达应...
iptables 如何防止 syn ddos ping 攻击
Free雅轩的博客
11-23 310
说明:第一行:每秒中最多允许5个新连接。第二行:防止各种端口扫描。第三行:Ping洪水攻击(Ping of Death),可以根据需要调整或关闭。Ping洪水攻击(Ping of Death)防止同步包洪水(Sync Flood)配置防火墙防止syn,ddos攻击。在iptables中加入下面几行。怎么防止别人ping我?限制对内部封包的发送速度。
利用IP地址欺骗突破防火墙
wgscd blog
03-25 1279
一般的访问控制主要在防火墙中进行设置,制定一些安全策略:如内部局域网的资源不允许外部网上的用户使用;不设防区(又称非军事区)可以为内部或外部局域网,其中的资源允许外部网的用户有限度地使用;可以使外部用户访问非军事区(DMZ区)的WEB服务器等等。深入分析研究防火墙技术,利用防火墙配置和实现 的漏洞,可以对它实施攻击。通常情况下,有效的攻击都是从相关的子网进行的,因为这些网址得到了防火墙的信赖,虽说
IP欺骗原理精解和防范手段综述
萝卜青菜
12-29 1929
 即使是很好的实现了TCP/IP协议,由于它本身有着一些不安全的地方,从而可以对TCP/IP网络进行攻击。这些攻击包括序列号欺骗,路由攻击,源地址欺骗和授权欺骗。本文除了介绍IP欺骗攻击方法外,还介绍怎样防止这个攻击手段。上述攻击是建立在攻击者的计算机(包括路由)是连在INTERNET上的。这里的攻击方法是针对TCP/IP本身的缺陷的,而不是某一具体的实现。实际上,IP 欺骗不是进攻的结果,而是进
Centos7 设置 防火墙 iptables 说明
冬的博客
07-11 1361
Centos 在 7.0以后 自带了 自己的默认防火墙服务firewall, 但是出于习惯我们还是常常使用 iptables,这里简单说一下启停命令与防火墙设置文件 1、关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 ...
使用iptables抵抗常见攻击
韦编二绝
01-10 6980
文章出处:http://drops.wooyun.org/tips/1424#yjs_add_arg=65871 1.  防止syn攻击 思路一:限制syn的请求速度(这个方式需要调节一个合理的速度值,不然会影响正常用户的请求) iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptabl
iptables使用总结
Rand Tsui
04-15 471
icmp协议 参考文章:https://erg.abdn.ac.uk/users/gorry/course/inet-pages/icmp-code.html Echo Reply (0), Echo Request (8), Redirect (5), Destination Unreachable (3), Traceroute (30), Time Exceeded (11). 回显请求和回显应答 // 8表示回显请求,服务器设置如下规则之后,本机ping服务器,将会显示请求超时,服务器对本机
iptables这样防止探测
最新发布
05-28
### 使用iptables防止端口扫描和探测的配置方法 为了有效防止端口扫描和探测行为,可以通过配置iptables规则来限制异常的TCP标志位组合、限制连接速率以及屏蔽已知的恶意IP地址。以下是具体的配置方法: #### 1. 阻止非法TCP标志位组合 一些端口扫描工具(如nmap)会发送具有特定TCP标志位组合的数据包以探测目标主机的状态。通过以下规则可以阻止这些非法组合: ```bash iptables -t filter -I INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT iptables -t filter -I INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT iptables -t filter -I INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT iptables -t filter -I INPUT -p tcp --tcp-flags ALL NONE -j REJECT ``` 上述规则分别拒绝了常见的非法TCP标志位组合,例如仅设置FIN或URG/PSH标志而没有SYN标志的数据包[^3]。 #### 2. 限制单个IP的连接速率 频繁的连接尝试可能是端口扫描的一个特征。通过限制单个IP地址在单位时间内的连接次数,可以有效减少扫描行为的影响: ```bash iptables -A INPUT -p tcp --dport 1:65535 -m conntrack --ctstate NEW -m recent --set iptables -A INPUT -p tcp --dport 1:65535 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP ``` 上述规则使用`recent`模块跟踪新连接,并在60秒内超过10次连接尝试时丢弃数据包[^2]。 #### 3. 屏蔽已知恶意IP地址 如果已经检测到某些IP地址正在进行扫描或攻击行为,可以直接将其加入黑名单: ```bash iptables -A INPUT -s 192.168.80.138 -j DROP ``` 此规则将来自`192.168.80.138`的所有流量直接丢弃。 #### 4. 拒绝无用的ACK数据包 某些扫描工具会发送不带SYN标志的ACK数据包以测试目标主机是否在线。可以通过以下规则拒绝此类数据包: ```bash iptables -t filter -I INPUT -p tcp --dport 1:65535 --tcp-flags ALL ACK -j REJECT ``` 该规则拒绝所有仅包含ACK标志但未指定目标端口的数据包。 #### 5. 保存规则并使其持久化 iptables规则在系统重启后会丢失,因此需要将其保存并设置为开机自动加载: ```bash service iptables save ``` 对于现代Linux发行版(如CentOS 7及以上),可以使用以下命令: ```bash systemctl enable iptables systemctl start iptables ``` ### 注意事项 - 上述规则应根据实际网络环境调整,例如开放的端口范围、允许的连接速率等。 - 如果同时使用firewalld,则需要确保其与iptables规则不会冲突[^2]。 - 在生产环境中应用规则前,建议先进行测试以避免误拦截合法流量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值