行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
玩转iptables之防DDos攻击
2021-08-02 14:20:41 【

概述

上篇文章介绍了关于iptables防火墙的日志记录,本期文章结合防DDos攻击场景分享iptables防火墙的高级应用——limit参数。

小试牛刀

利用ping测试工具测试iptables防火墙limit参数。

测试步骤:

1、更改iptables防火墙INPUT、FORWORD和OUTPUT对应Chain(链)的默认策略为DROP(参考上期文章);

2、创建含有limit参数的策略并记录日志;

iptables -N ICMP_ACCEPT_LIMIT

iptables -A ICMP_ACCEPT_LIMIT -j LOG --log-prefix "ICMP_ACCEPT_LIMIT_Packet:" --log-level 4

iptables -A ICMP_ACCEPT_LIMIT -j ACCEPT

#创建含有limit参数的策略;

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/m --limit-burst 2 -j ICMP_ACCEPT_LIMIT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit 6/m --limit-burst 2 -j ICMP_ACCEPT_LIMIT

备注:

-m limit: 启用limit扩展;

–limit 6/m; 允许每分钟6个连接;

–limit-burst 2: 只有当连接达到limit-burst值时才启用limit/m限制。

3、更改iptables日志存储文件(参考上期文章);

4、测试PC ping 测试linux系统并查看linux系统的iptables防火墙记录日志。

(1)、测试PC ping 10 个报文至Linux主机(192.168.1.195),如下图所示。


(2)、查看linux主机iptables防火墙日志记录文件,如下图所示。

22:36:42和22:36:43,linux主机收到测试PC的ICMP请求报文;

22:36:54和22:37:05,linux主机收到测试PC的ICMP请求报文;

22:36:43-22:36:54之间相差10秒;

22:36:54-22:37:05之间相差10秒;

WHY?

22:36:42和22:36:43的请求报文数2个,达到了limit-burst值,从而触发了–limit 6/m参数设置(每分钟允许6个连接,即每10秒允许一个连接),因此在测试PC至linux主机的10个ping包过程中,产生了这样的现象。


总结

iptables防火墙limit参数不但可限制ICMP协议,而且可限制TCP的建立,详情可参考上述案例。不足之处,欢迎各位小伙伴留言交流。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇如何保护你的文件免受勒索软件攻击 下一篇微软收购网络安全公司CloudKnox

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800