Linux系统防火墙防止DOS和DDOS攻击

会计考友

用Linux 系统防火墙功能抵御网络攻击     虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN ，DDOS等。通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。?
    1. 抵御SYN
& t% V% b! b5 h% m    SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。
- L* Q+ ^! g0 z' `( Y' g  \9 N    Linux内核提供了若干SYN相关的配置，用命令：
4 n0 q# F7 O% A( y    sysctl -a | grep syn
    看到：
    net.ipv4.tcp_max_syn_backlog = 1024
8 a7 j3 S2 J$ W. z7 `5 ]8 ~8 P9 ], H    net.ipv4.tcp_syncookies = 0
5 X6 T( Q* C) j- f$ j    net.ipv4.tcp_synack_retries = 5
    net.ipv4.tcp_syn_retries = 5
    tcp_max_syn_backlog是SYN队列的长度，tcp_syncookies是一个开关，是否打开SYN Cookie功能，该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。
    加大SYN队列长度可以容纳更多等待连接的网络连接数，打开SYN Cookie功能可以阻止部分SYN攻击，降低重试次数也有一定效果。
4 s$ l0 w4 A  s$ a3 p    调整上述设置的方法是：
& L8 l$ H5 s" a6 h( ^' {- S( ~4 \    增加SYN队列长度到2048：
4 i: n3 ]" y8 V5 }    sysctl -w net.ipv4.tcp_max_syn_backlog=2048
" Y9 l  h9 Z  d( Q% F3 L4 i5 V    打开SYN COOKIE功能：
    sysctl -w net.ipv4.tcp_syncookies=1
( w9 ^- n  U; r+ x4 B6 p: @    降低重试次数：
; }" R/ s; v: O; Y    sysctl -w net.ipv4.tcp_synack_retries=3
    sysctl -w net.ipv4.tcp_syn_retries=3
3 I( P* E6 G2 l. j, B% E5 E5 H    为了系统重启动时保持上述配置，可将上述命令加入到/etc/rc.d/rc.local文件中。
; [3 M: Z6 w( ]: V+ F2 @" @7 z    2. 抵御DDOS
4 I4 J" i% e* U7 J    DDOS，分布式拒绝访问攻击，是指黑客组织来自不同来源的许多主机，向常见的端口，如80，25等发送大量连接，但这些客户端只建立连接，不是正常访问。由于一般Apache配置的接受连接数有限（通常为256），这些“假” 访问会把Apache占满，正常访问无法进行。
    Linux提供了叫ipchains的防火墙工具，可以屏蔽来自特定IP或IP地址段的对特定端口的连接。使用ipchains抵御DDOS，就是首先通过netstat命令发现攻击来源地址，然后用ipchains命令阻断攻击。发现一个阻断一个。
3 K6 Y( v1 R1 Q& F    *** 打开ipchains功能
    首先查看ipchains服务是否设为自动启动：
    chkconfig --list ipchains
) a/ m. t: f( w8 F/ G    输出一般为：
    ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off
    如果345列为on，说明ipchains服务已经设为自动启动
    如果没有，可以用命令：
$ }: S) Y9 _" e0 h' @/ p. k4 k    chkconfig --add ipchains
. R* |% I$ u1 r, F& t1 U    将ipchains服务设为自动启动
    其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果这一文件不存在，ipchains
    即使设为自动启动，也不会生效。缺省的ipchains配置文件内容如下：
    # Firewall configuration written by lokkit
* n8 _$ ~8 D0 {& ^9 g! X0 F    # Manual customization of this file is not recommended.
    # Note: ifup-post will punch the current nameservers through the
' N# f; i  `; o% _  _- O    # firewall; such entries will *not* be listed here.
    :input ACCEPT
    :forward ACCEPT
    :output ACCEPT
) `: p3 L$ k* m$ d    -A input -s 0/0 -d 0/0 -i lo -j ACCEPT
/ u& \, R) X$ U9 i& `' H4 Q    # allow http,ftp,smtp,ssh,domain via tcp; domain via udp
    -A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
$ @, b( W. Y3 V, k4 _: Z    -A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
    -A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
0 G; w6 M+ F: m  N% x    -A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
    -A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
* {* U" K  r2 J' M, P% n4 m8 A    -A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
    -A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
9 U: [! q# g0 \' O4 l8 p' R: F8 u    -A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
, _: T; P" I4 r     # deny icmp packet
) w4 [/ k4 {9 m8 s! _# r, r4 r8 \1 Y     #-A input -p icmp -s 0/0 -d 0/0 -j DENY
7 _: s+ D/ M( m" C; X     # default rules
    -A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
    -A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
    -A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
    -A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
    -A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
; I$ _/ [& {" C1 x1 O0 k    -A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

会计考友

如果/etc/sysconfig/ipchains文件不存在，可以用上述内容创建之。创建之后，启动ipchains服：     /etc/init.d/ipchains start
% ]& n6 v5 H7 s; s- u    *** 用netstat命令发现攻击来源
    假如说黑客攻击的是Web 80端口，察看连接80端口的客户端IP和端口，命令如下：
    netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
    输出：
    161.2.8.9:123 FIN_WAIT2
    161.2.8.9:124 FIN_WAIT2
     61.233.85.253:23656 FIN_WAIT2
0 n# H9 v: ]3 W7 x, |) V* n' V    ...
) s& j1 f4 F8 u    第一栏是客户机IP和端口，第二栏是连接状态
    如果来自同一IP的连接很多（超过50个），而且都是连续端口，就很可能是攻击。
. d7 N; u( x& ^1 q9 W- }0 j1 F$ F    如果只希望察看建立的连接，用命令：
# z- D1 T- A/ j' o    netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
: r7 q3 w2 W0 l1 M  i8 P    *** 用ipchains阻断攻击来源
" j4 r7 |9 `0 X% P    用ipchains阻断攻击来源，有两种方法。一种是加入到/etc/sysconfig/ipchains里，然后重启动ipchains服务。另一种是直接用ipchains命令加。屏蔽之后，可能还需要重新启动被攻击的服务，是已经建立的攻击连接失效
    * 加入/etc/sysconfig/ipchains
    假定要阻止的是218.202.8.151到80的连接，编辑/etc/sysconfig/ipchains文件，在:output ACCEPT
6 V" `/ o" N8 m: y    行下面加入：
9 T; {0 U. P9 R$ C0 z    -A input -s 218.202.8.151 -d 0/0 http -y -j REJECT
    保存修改，重新启动ipchains：
    /etc/init.d/ipchains restart
    如果要阻止的是218.202.8的整个网段，加入：
    -A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
; K3 V$ K' l8 A. a) t. w    * 直接用命令行
4 T1 b. M1 |* P0 l    加入/etc/sysconfig/ipchains文件并重起ipchains的方法，比较慢，而且在ipchains重起的瞬间，可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。
    假定要阻止的是218.202.8.151到80的连接，命令：
    ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
    如果要阻止的是218.202.8的整个网段，命令：
4 y* [+ z: X% e) P/ P# d; J    ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
3 s, }% b6 m. y0 z5 _) W. Q/ q    其中，-I的意思是插入，input是规则连，1是指加入到第一个。
3 a* k+ H( E9 K% @) `: x2 U1 s, l    您可以编辑一个shell脚本，更方便地做这件事，命令：
* Z4 @6 Z3 w" H2 ^# @    vi blockit
+ g" M; J+ F2 g    内容：
2 d% R) u! o! l& z' d5 E    #!/bin/sh
/ Q/ C3 p- a3 m2 J. v8 r% @9 q2 _    if [ ! -z "$1" ] ; then
    echo "Blocking: $1"
    ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
' J; _2 Z. E- H- _$ a2 n    else
    echo "which ip to block?"
5 I$ z/ k) p8 L5 @4 j& S; M1 I    fi

会计考友

保存，然后：     chmod 700 blockit
4 |1 u7 t! k4 I" M/ b0 N" |; ?    使用方法：
5 O3 t. O+ [' _( T' D    ./blockit 218.202.8.151
    ./blockit 218.202.8.0/255.255.255.0
  I) m2 X# A' q$ E) ?    上述命令行方法所建立的规则，在重起之后会失效，您可以用ipchains-save命令打印规则:
    ipchains-save
- G6 {* S# e3 Q4 x: ~- w4 a    输出：
    :input ACCEPT
) ?0 [7 G( m. E0 ^; b/ X    :forward ACCEPT
# n7 A( m' \* k! ^/ l3 b; [    :output ACCEPT
7 a* F+ T$ O: R    Saving `input'.
* A% ^9 P: c5 C$ ]8 C) P# t    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
% T6 a( j! J3 w% {5 x/ J% _# U    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
# i, p+ u* p1 W, q, g$ ?    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
+ {; r4 o$ i5 N; {/ O    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
% Y5 W; x* J8 ~2 m2 \0 l6 ~    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
* t0 o3 g; `# n8 G    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
+ O  Q( I( h; N3 A) [    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
% ?8 B4 s2 ^4 n3 i7 l    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
- }! I7 t( j7 I; @    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
; e  R. k! L+ j) |2 T    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
2 c% G) X( b" L( W" G9 a    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
) W4 K+ c% M6 N) f5 \" T- Y    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
' C2 x+ T6 I: }, N    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
( B' p7 k7 C( i1 C    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
2 M- L: e# E- @/ l% X! @4 J" ^( K; k" U    -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y
    您需要把其中的"Saving `input'."去掉，然后把其他内容保存到/etc/sysconfig/ipchains文件，这样，下次重起之后，建立的规则能够重新生效。
    3. 如果使用iptables
; I4 ]7 w$ e" x: }    RH 8.0以上开始启用iptables替代ipchains，两者非常类似，也有差别的地方。
) n5 b1 s! x/ ^    * 启用iptables
0 o; M1 h- G: }    如果/etc/sysconfig/下没有iptables文件，可以创建：
    # Firewall configuration written by lokkit
    # Manual customization of this file is not recommended.
$ k% j6 a7 d5 e: Z* B+ b, f. P9 h0 N    # Note: ifup-post will punch the current nameservers through the
    # firewall; such entries will *not* be listed here.
    *filter
9 u( j. `/ g. Q3 E, i  `    :INPUT ACCEPT [0:0]
; X! |5 d9 a/ y3 D" F4 O( g    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
& [1 n5 v* k0 `. ~& X2 x* @- I- z    :RH-Lokkit-0-50-INPUT - [0:0]
    -A INPUT -j RH-Lokkit-0-50-INPUT
. ]$ e( k" s# J+ {7 P$ X    -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
# g- c5 d3 |) r: r0 F  I8 j    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
  i; u8 x) t  i& u9 P    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
" P5 P$ g8 s- H* q% {, g    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
1 B$ t: }1 J1 z1 O; `. I    -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
    -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
' _9 Y1 `5 e6 X1 a8 B6 x    -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
% m; Z$ C7 N6 H& y/ w; {    COMMIT
    以上配置允许了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口)，domain端口。

会计考友

* 启动iptables     /etc/init.d/iptables start
    * 设置iptables为自动启动
1 J1 {" [3 ~0 N5 H  B' f' P    chkconfig --level 2345 iptables on
    * 用iptables屏蔽IP
    iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT
4 ~' c" z! X& c& S  ]( b    注意到，和ipchains的区别是：
* i6 B: N- q/ j/ q, _    -I 后面跟的规则名称的参数和ipchains不同，不是统一的input，而是在/etc/sysconfig/iptables里定义的那个
! T5 i! i' q. A4 J    多了-m tcp
2 E: x. A5 ~" L# J, C3 _" P& J3 w    指定端口的参数是--dport 80
    多了--syn参数，可以自动检测sync攻击
$ W* `! {6 y6 p4 k+ i( P; b    使用iptables禁止ping：-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable