找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 19612|回复: 1

利用iptables防攻击的简单例子!dns如何被利用的?

[复制链接]
发表于 2013-3-25 18:14:52 | 显示全部楼层 |阅读模式
目前对DNS服务器的攻击基本都是假冒IP的潮水攻击。普通情况下,DNS查询是UDP协议,无需像TCP那样的三次握手过程,因此DNS服务器无法识别请求包里的源IP是否真实有效。如果大量的假冒IP进行攻击,就造成名字服务器要么计算资源耗尽,要么带宽耗尽,从而拒绝服务。
! A* f2 v3 r2 o/ ?5 Q8 }$ L9 a由于客户端是假冒IP,因此DNS服务器端的安全策略,例如DNS RRL、或者iptables,都作用不大。唯一有效的方式是从源头制止这种攻击,即各ISP、IDC都要严格执行BCP 38,拒绝非本网络的源IP对外发起请求。
0 W5 E1 G0 M: H* Q0 i( P9 Q$ [" d8 l3 x0 o% ^* ~; P
除了直接攻击DNS服务器外,还有一种情况是DNS服务器被利用来攻击别人。如果攻击者想攻击某个站点,他假冒这个站点的IP,对互联网上开放的DNS服务器发起查询,DNS服务器会将查询应答包返回给站点IP。由于开放的DNS服务器数量众多(比如运营商的递归服务器、各个公司自己的权威服务器),假如攻击者同时往1000台DNS服务器发起查询,那么1000个服务器的返回包到达后,巨大的流量直接把目标站点干掉。示意图请见:
- w) N+ _$ D! t9 W( g- w  B. {1 o) q" i
这种情况下,可以利用RRL、iptables来保护自己的名字服务器免被攻击者利用来攻击别人。* f* H+ L5 J( M, }) J$ }
一个简单的iptables规则可以如下:4 W6 S9 A# e, S5 i# j. R0 b
iptables -I INPUT -p udp –dport 53 -m state –state NEW  -m recent –set* m4 Y& M9 i9 @
iptables -I INPUT -p udp –dport 53 -m state –state NEW  -m recent –update –seconds 60 –hitcount 1000 -j DROP
2 H5 `, p# E& ]上述规则的作用是,如果在1分钟内对DNS的查询频率超过1000次,就拦截掉该源IP。) ]9 H" d( i4 ^$ G6 P2 L- C

& d& F: ]) s0 d, F: L" E+ e原文:http://www.nsbeta.info/archives/389

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
 楼主| 发表于 2013-3-25 19:09:04 | 显示全部楼层
上面的脚本貌似有问题:看这里解决:$ K1 @9 d. Q5 G+ k# N4 J$ S+ {
    当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。0 {0 \# Q* G& x* Q, I2 D) g( q7 [
1.系统要求
- s! p$ x& z5 i0 v
# l6 w' @$ V: k% c; w1 M! G: {6 k2 P(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。& A# l% g" X% O+ k8 g2 V7 y
' E- C3 j& _2 K
(2)iptables版本:1.3.7( }- D* K; O! `% O4 o8 T3 S

; Z& i7 _7 k0 C. n1 Z* m. l4 A0 G/ u* s2. 安装
7 _5 A6 [1 \, s  o. Z0 Y! v$ r
$ A, G$ F8 n: B( q& K5 X9 d& h安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
5 ~9 a; H5 C. I9 n' k
( O  X( J3 A9 Q9 `8 o/ [3. 配置相应的iptables规则
, E: w: s: f. ]' M  H% z# ^8 _$ r8 }+ v$ W. C
示例如下:) F2 f! A6 g( _* A' {* r3 ^

4 R8 J5 Z" G/ e1 y; h# l(1)控制单个IP的最大并发连接数
3 O5 U" p) r1 [+ D( |4 E4 y- ~. z" |; e. X2 X8 _
iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30. S8 I: `# G8 V( B+ {1 ^8 k3 r
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
1 O( z9 ]( T+ N  O8 Q7 X% m7 Z& H: y/ z0 k
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接$ Q* S) y" ]. m8 P1 W8 v3 D
4. 验证
9 V0 [4 }# X' }' U: Z& Z1 j
; X! H+ j$ {. E/ h8 t( H(1)工具:flood_connect.c(用来模拟攻击)' f' n4 y) o1 M# j' k; N
, F/ H6 x% s4 g" u: }! L' K
(2)查看效果:
2 a/ G8 i7 f8 B
- p) X! G% f5 X5 z- _) P$ b使用
, o) m1 P. V8 H, n" ?7 }
- H9 \$ J( H4 h1 c& @$ b1 e3 g5 rwatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'7 A+ S5 G0 S+ A) s  Z
实时查看模拟攻击客户机建立起来的连接数,4 l& u  r" F  P
8 e" O! C% o$ p' u7 C
使用4 h/ `) L# \" S5 X4 `( I

. ^* K/ I8 G3 ]5 Ewatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'5 E$ i" d1 z2 Y# X
查看模拟攻击客户机被 DROP 的数据包数。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|第一站论坛 ( 蜀ICP备06004864号-6 )

GMT+8, 2026-7-11 18:10 , Processed in 0.066040 second(s), 22 queries .

Powered by Discuz! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表