linux仿ping攻击,linux 下 iptables 防止 syn ddos ping 等 攻击

最新推荐文章于 2025-05-05 14:40:23 发布
最新推荐文章于 2025-05-05 14:40:23 发布
阅读量382 收藏 1
点赞数
文章标签: linux仿ping攻击

先来一个自己用的实例:

配置防火墙防止syn,ddos攻击

[root@m176com ~]# vim /etc/sysconfig/iptables

在iptables中加入下面几行

#anti syn,ddos

-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j

ACCEPT

-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit

1/s -j ACCEPT

-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j

ACCEPT

说明:

第一行:每秒中最多允许5个新连接

第二行:防止各种端口扫描

第三行:Ping洪水攻击(Ping of Death)

可以根据需要调整或关闭

重启防火墙

[root@m176com ~]# /etc/init.d/iptables restart

屏蔽一个IP

# iptables -I INPUT -s 192.168.0.1 -j DROP怎么防止别人ping我??

# iptables -A INPUT -p icmp -j DROP

防止同步包洪水(Sync Flood)

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j

ACCEPT

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m

limit --limit 1/s -j ACCEPT

Ping洪水攻击(Ping of Death)

#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit

--limit 1/s -j ACCEPT

# NMAP FIN/URG/PSH

# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j

DROP

# Xmas Tree

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

# Another Xmas Tree

# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL

SYN,RST,ACK,FIN,URG -j DROP

# Null Scan(possibly)

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

# SYN/RST

# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j

DROP

# SYN/FIN -- Scan(possibly)

# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j

DROP

##限制对内部封包的发送速度

#iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j

ACCEPT ##限制建立联机的转

#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j

ACCEPT

一个不错的防火墙代码

#####################################################

-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j

ACCEPT

-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit

20/sec --limit-burst 200 -j

ACCEPT

-A INPUT -p udp -m udp --dport 138 -j DROP

-A INPUT -p udp -m udp --dport 137 -j DROP

-A INPUT -p tcp -m tcp --dport 1068 -j DROP

-A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j

DROP

-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j

ACCEPT

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit

--limit 20/sec --limit-burst 200

-j ACCEPT

-A FORWARD -p tcp -m tcp --dport 445 -j DROP

-A FORWARD -p udp -m udp --dport 138 -j DROP

-A FORWARD -p udp -m udp --dport 137 -j DROP

-A FORWARD -p tcp -m tcp --dport 1068 -j DROP

-A FORWARD -p tcp -m tcp --dport 5554 -j DROP

-A FORWARD -p icmp -j DROP

:PREROUTING ACCEPT [986908:53126959]

:POSTROUTING ACCEPT [31401:2008714]

:OUTPUT ACCEPT [30070:1952143]

-A POSTROUTING -p tcp -m tcp --dport 445 -j DROP

#####################################################

iptables 防火墙例子

#!/bin/bash

#

# The interface that connect Internet

# echo

echo "Enable IP Forwarding..."

echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Starting iptables rules..."

IFACE="eth0"

# include module

modprobe ip_tables

modprobe iptable_nat

modprobe ip_nat_ftp

modprobe ip_nat_irc

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_conntrack_irc

modprobe ipt_MASQUERADE

# init

/sbin/iptables -F

/sbin/iptables -X

/sbin/iptables -Z

/sbin/iptables -F -t nat

/sbin/iptables -X -t nat

/sbin/iptables -Z -t nat

/sbin/iptables -X -t mangle

# drop all

/sbin/iptables -P INPUT DROP

/sbin/iptables -P FORWARD ACCEPT

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -t nat -P PREROUTING ACCEPT

/sbin/iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -t nat -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst

100 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN

-m limit --limit 20/sec --limit-burst 200 -j ACCEPT

/sbin/iptables -A INPUT -p icmp -m limit --limit 12/min

--limit-burst 2 -j DROP

/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst

100 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN

-m limit --limit 20/sec --limit-burst 200 -j ACCEPT

# open ports

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j

ACCEPT

/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j

ACCEPT

# close ports

iptables -I INPUT -p udp --dport 69 -j DROP

iptables -I INPUT -p tcp --dport 135 -j DROP

iptables -I INPUT -p udp --dport 135 -j DROP

iptables -I INPUT -p tcp --dport 136 -j DROP

iptables -I INPUT -p udp --dport 136 -j DROP

iptables -I INPUT -p tcp --dport 137 -j DROP

iptables -I INPUT -p udp --dport 137 -j DROP

iptables -I INPUT -p tcp --dport 138 -j DROP

iptables -I INPUT -p udp --dport 138 -j DROP

iptables -I INPUT -p tcp --dport 139 -j DROP

iptables -I INPUT -p udp --dport 139 -j DROP

iptables -I INPUT -p tcp --dport 445 -j DROP

iptables -I INPUT -p udp --dport 445 -j DROP

iptables -I INPUT -p tcp --dport 593 -j DROP

iptables -I INPUT -p udp --dport 593 -j DROP

iptables -I INPUT -p tcp --dport 1068 -j DROP

iptables -I INPUT -p udp --dport 1068 -j DROP

iptables -I INPUT -p tcp --dport 4444 -j DROP

iptables -I INPUT -p udp --dport 4444 -j DROP

iptables -I INPUT -p tcp --dport 5554 -j DROP

iptables -I INPUT -p tcp --dport 1434 -j DROP

iptables -I INPUT -p udp --dport 1434 -j DROP

iptables -I INPUT -p tcp --dport 2500 -j DROP

iptables -I INPUT -p tcp --dport 5800 -j DROP

iptables -I INPUT -p tcp --dport 5900 -j DROP

iptables -I INPUT -p tcp --dport 6346 -j DROP

iptables -I INPUT -p tcp --dport 6667 -j DROP

iptables -I INPUT -p tcp --dport 9393 -j DROP

iptables -I FORWARD -p udp --dport 69 -j DROP

iptables -I FORWARD -p tcp --dport 135 -j DROP

iptables -I FORWARD -p udp --dport 135 -j DROP

iptables -I FORWARD -p tcp --dport 136 -j DROP

iptables -I FORWARD -p udp --dport 136 -j DROP

iptables -I FORWARD -p tcp --dport 137 -j DROP

iptables -I FORWARD -p udp --dport 137 -j DROP

iptables -I FORWARD -p tcp --dport 138 -j DROP

iptables -I FORWARD -p udp --dport 138 -j DROP

iptables -I FORWARD -p tcp --dport 139 -j DROP

iptables -I FORWARD -p udp --dport 139 -j DROP

iptables -I FORWARD -p tcp --dport 445 -j DROP

iptables -I FORWARD -p udp --dport 445 -j DROP

iptables -I FORWARD -p tcp --dport 593 -j DROP

iptables -I FORWARD -p udp --dport 593 -j DROP

iptables -I FORWARD -p tcp --dport 1068 -j DROP

iptables -I FORWARD -p udp --dport 1068 -j DROP

iptables -I FORWARD -p tcp --dport 4444 -j DROP

iptables -I FORWARD -p udp --dport 4444 -j DROP

iptables -I FORWARD -p tcp --dport 5554 -j DROP

iptables -I FORWARD -p tcp --dport 1434 -j DROP

iptables -I FORWARD -p udp --dport 1434 -j DROP

iptables -I FORWARD -p tcp --dport 2500 -j DROP

iptables -I FORWARD -p tcp --dport 5800 -j DROP

iptables -I FORWARD -p tcp --dport 5900 -j DROP

iptables -I FORWARD -p tcp --dport 6346 -j DROP

iptables -I FORWARD -p tcp --dport 6667 -j DROP

iptables -I FORWARD -p tcp --dport 9393 -j DROP

/sbin/iptables -A INPUT -i $IFACE -m state --state

RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -A INPUT -i $IFACE -m state --state NEW,INVALID -j

DROP

# drop ping

/sbin/iptables -A INPUT -p icmp -j DROP

/sbin/iptables -I INPUT -s 222.182.40.241 -j DROP

使用iptables应对SYN攻击、CC攻击、ACK攻击
weixin_34216107的博客
11-07 2782
1、前言 笔者想总结一些应对常见的网络攻击的方法,特参阅网络上的文档,以便整理出一套可以应对SYN、CC、ACK等攻击的方案。 2、理论基础 2.1、TCP/IP的三次握手理论 TCP/IP协议使用三次握手来建立连接,过程如下: 1)第一次握手,客户端发送数据包syn到服务器,并进入SYN_SEND状态,等待回复 2)第二次握手,服务器发送数据报syn...
iptables用来防御flood攻击的命令_教你如何在Linux防止SYN Flood攻击
weixin_39769675的博客
11-25 826
SYN泛洪攻击(SYN Flood)是指使用不完善的TCP/IP三次握手,恶意发送大量只包含SYN握手序列的数据包的攻击方法。这种攻击方法可能会导致被攻击的计算机拒绝服务甚至崩溃,从而使潜在的连接占用大量的系统资源,无法完成三次手。如果您遭受SYN洪水攻击下的Linux服务器,您可以设置以下:减少SYN-超时时间:iptables-AFORWARD-ptcpsyn-mli...
linux iptables 防止 syn ddos ping攻击
【水能凝冰,冰自坚】的专栏
04-24 2303
Linux iptables 防止 syn ddos ping攻击 时间:2010-12-10 12:02来源:未知 作者:admin 点击:633次 先来一个自己用的实例: 配置防火墙防止synddos攻击 [root@m176com ~]# vim /etc/sysconfig/iptablesiptables中加入下面几行 #anti synddos -A FO
linux防火墙防御攻击,linux 防御SYN攻击
weixin_31083901的博客
05-12 526
文章目录[隐藏]一、默认syn配置二、修改syn配置三、添加防火墙规则四、添加开机启动一、默认syn配置sysctl -a | grep _syn net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries =...
iptables攻击
aoli_shuai的博客
01-11 630
iptables 防止cc攻击 connlimit模块 作用:限制每一个客户端ip的并发连接数 参数:–connlimit-above n #限制并发个数 使用: iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT limit 模块 作用:限速,控制流量 参数:–limit-b...
Linux下防御ddos攻击_公司linux系统中对外暴露的服务需要防止syn洪水攻击及cookie攻击,决定安全加固系
2401_85957787的博客
08-22 764
usr/local/ddos/ddos.sh -k n //杀掉连接数大于n的连接。http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate。IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list” //IP地址白名单。/usr/local/ddos/ddos.sh -c //按照配置文件创建一个执行计划。/usr/local/ddos/ddos.sh -h //查看选项。
揭开Linux DDoS攻击的神秘面纱:从原理到防御
最新发布
大雨淅淅的博客
05-05 591
Linux DDoS 攻击作为网络安全领域的顽疾,凭借其多样化的攻击手段,如流量型攻击中的 UDP Flood、ICMP Flood,资源耗尽型攻击中的 SYN Flood、HTTP Flood 等,给网络世界带来了巨大的威胁。这些攻击不仅导致服务器瘫痪、业务中断,还严重损害了企业的声誉和用户体验,造成了不可估量的经济损失。然而,我们并非在这场对抗中毫无还手之力。通过基于系统指标的检测方法以及像 netstat 命令、Snort 和 Suricata 等专业检测工具,我们能够及时发现攻击的蛛丝马迹。
Linux 防范SYN Flood攻击
峰迹的博客
04-18 1319
通过上述措施,可以显著提高服务器对SYN Flood攻击的防御能力。然而,网络安全是一个持续的过程,需要定期审查和更新安全策略。此外,监控系统日志和网络流量,以及使用专业的入侵检测系统(IDS),也是防范网络攻击的重要组成部分。
58-DOS与DDOS分析(正常TCP会话与SYN Flood攻击、ICMP Flood 攻击、SNMP放大攻击等)
XLbb的博客
06-21 1876
Syn-Flood攻击、sockstress攻击、DNS放大攻击(产生大流量的攻击方法-单机的带宽优势 -巨大单机数量形成的流量汇聚-利用协议特性实现放大效果的流量)、Slowhttptest (源自google)低带宽应用层慢速DoS攻击(相对于CC等快速攻击而言的慢速) 、应用层DoS(应用服务漏洞、缓冲区溢出漏洞、CesarFTP 0.99 服务漏洞、Slowhttptest (源自google))
DDOS攻击类型以及iptables防范ddos脚本.docx
10-29
DDOS攻击类型以及iptables防范DDOS脚本 一、DDOS攻击类型 DDOS攻击(Distributed Denial of Service)是一种常见的网络攻击方式,攻击者通过大量的网络请求使得被攻击方的服务器或网络资源不堪重负,导致服务中断...
linux中使用Iptables预防黑客攻击
记事本
02-13 1366
攻击的形式多种多样,在这里介绍最为常见的SYN_RECV,遇到攻击的不要着急,小量的SYN_RECV很容易防止的 1.对于大量的 SYN_RECV  若怀疑是SYN Flood攻击,有以下建议: 这个攻击的解决方法如下:  (1)增加未完成连接队列(q0)的最大长度。  echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog
教你如何在Linux防止SYN Flood攻击
Listen2You的博客
04-04 909
导读 SYN泛洪攻击(SYN Flood)是指使用不完善的TCP/IP三次握手,恶意发送大量只包含SYN握手序列的数据包的攻击方法。这种攻击方法可能会导致被攻击的计算机拒绝服务甚至崩溃,从而使潜在的连接占用大量的系统资源,无法完成三次手。 如果您遭受SYN洪水攻击下的Linux服务器,您可以设置以下: 减少SYN-超时时间: iptables -A FORWARD -p tcp...
ping 攻击 Linux,Linux 环境实现ping攻击
weixin_39601794的博客
05-13 660
通过不断的ping局域网中的某个主机,可以达到几乎完全占用那个主机网速的效果,但自己的网速也废了,整个局域网的上网基本上也废来。所以这是一种同归于尽的攻击方式,实用性基本上不存在了。之所以做这件事,是因为最近在研读 TCP/IP详解卷一 这本书,所以用代码实现了ping的功能,并且稍加改进成为了ping攻击的代码。一、开发环境:Red Hat Enterprise Linux 6.0编译工具:GC...
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 3650
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天与 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
kali LinuxDDos攻击(详细教程)
热门推荐
weixin_66727473的博客
10-30 1万+
本文章使用的是Kali Linux的2021-1的版本。vm虚拟机里kali安装我就不做说明了,相信各位可以的不会的可以私聊本作者。请正确使用DDos不要用来做违反当地法律法规的事情,否则后果自负。DDos攻击首先打开我们kali Linux里的命令行如果有kali模式的话我们要先切换到root模式切记kali的密码是不显示的大部分账号密码都是一致的 接下来输入以下命令:这样DDos的数据包就已经下载到了你的Kali上 下面进入你所下载的DDos文件夹 (注意字母大小写)然后用python执行 如果进入了
Linux 环境实现ping攻击
Jason___Bourne的专栏
05-02 4528
通过不断的ping局域网中的某个主机,可以达到几乎完全占用那个主机网速的效果,但自己的网速也废了,整个局域网的上网基本上也废来。所以这是一种同归于尽的攻击方式,实用性基本上不存在了。之所以做这件事,是因为最近在研读 TCP/IP详解卷一 这本书,所以用代码实现了ping的功能,并且稍加改进成为了ping攻击的代码。 一、开发环境:Red Hat Enterprise Linux 6.0
仿ping程序(linux网络编程
爱.NET
02-27 132
/* * ===================================================================================== * * Filename: ping.c * * Description: * * Version: 1.0 * Created: 2012年02...
简单防范SYN_RECV攻击
weixin_34387284的博客
04-09 179
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 这条语句返回结果如下 TIME_WAIT 346 FIN_WAIT1 85 FIN_WAIT2 6 ESTABLISHED 1620 SYN_RECV 169 LAST_ACK 8 SYN_RECV表示正在等待处理的请求数;EST...
(转)简单防范SYN_RECV攻击
ahn18429的博客
03-25 358
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 这条语句返回结果如下 TIME_WAIT 346 FIN_WAIT1 85 FIN_WAIT2 6 ESTABLISHED 1620 SYN_RECV 169 LAST_ACK 8 SYN_RECV表示正在...
强化Linux服务器防护:DDoS防御与安全脚本详解
Linux系统中,保障Web服务器的安全并防范DDoS攻击是至关重要的任务。这个脚本提供了实用的防火墙规则设置,针对常见的网络服务和安全威胁进行管理。首先,脚本包含了对模块的支持,如`ipt_MASQUERADE`、`ip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值