首页 > 系统相关 >linux防止常见的网络攻击

linux防止常见的网络攻击

时间:2023-12-18 09:45:09浏览次数:38  
标签:iptables -- 常见 SYN tcp limit linux INPUT 网络攻击

什么是syn,ddos,ping

SYN (Synchronize):

在 TCP(传输控制协议)中,SYN 是握手过程的一部分。当客户端尝试与服务器建立连接时,它发送一个带有 SYN 标志的数据包。服务器收到 SYN 数据包后,通常会回复一个带有 SYN 和 ACK(确认)标志的数据包,表示接受连接。最后,客户端再发送一个带有 ACK 标志的数据包,表示握手完成。这个过程通常称为三次握手。
DDoS (Distributed Denial of Service):
DDoS 攻击是一种网络攻击,通过在短时间内向目标服务器发送大量的请求,使其超负荷,无法正常响应合法用户的请求。这些请求可以是来自多个分布式计算机的,使得攻击者能够利用分布式网络资源来发动攻击,使攻击更难以阻止。
配置防火墙防止syn,ddos攻击
# vim /etc/sysconfig/iptables
# 在iptables中加入下面几行
#anti syn,ddos
-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#第一行:每秒中最多允许5个新连接
#第二行:防止各种端口扫描
#第三行:Ping洪水攻击(Ping of Death),可以根据需要调整或关闭
#重启防火墙
# /etc/init.d/iptables restart

屏蔽一个IP

# iptables -I INPUT -s 192.168.0.1 -j DROP

怎么防止别人ping我

# iptables -A INPUT -p icmp -j DROP

防止同步包洪水(Sync Flood)

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击(Ping of Death)

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPTNMAP FIN/URG/PSH
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

Xmas Tree

# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

Another Xmas Tree

# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

Null Scan(possibly)

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

SYN/RST

# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

SYN/FIN -- Scan(possibly)

# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

限制对内部封包的发送速度

# iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT  

限制建立联机的转发

# iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

标签:iptables,--,常见,SYN,tcp,limit,linux,INPUT,网络攻击
From: https://www.cnblogs.com/qcy-blog/p/17910359.html

相关文章

  • Linux 学习笔记
    vim使用打开vim资源文件(可配置vim):vim.vimrc打开学习vim资料:vimtutor(英文版)vimtutorzh(中文版)模式转换:普通模式(......
  • linux---内核笔记
    semaphore用于进程和进程之间的同步允许有多个进程进入临界区代码执行进程获取不到信号量锁会陷入休眠,让出cpu信号量本质是基于进程调度器,UP和SMP下的实现无差异。被信号量锁保护的临界区代码允许睡眠,这是和自旋锁最大的区别之一。不支持进程和中断之间的同步,这是和自旋锁......
  • linux系统编程第九章
    目录1.I/O库函数2.I/O库函数与系统调用3.I/O库函数的算法3.1fread算法3.2fwrite算法3.3fclose算法4.I/O库模式4.1字符模式4.2行模式I/O4.3其他I/O库函数4.4限制混合fread-fwrite5.文件流缓冲6.变参函数7.苏格拉底挑战7.1I/O库函数算法7.2I/O库模式8.问......
  • java基础知识点之一维数组的两个常见小问题
    一:概述在一维数组的使用中,一不小心就会出现错误,尤其是在初学的情况下。在这里我要说明的是两个常见的问题索引越界问题和空指针异常的问题。二:具体说明<1>索引越界问题初学者打眼一看,可能认为这没有错误,但运行之后,程序报错了。这个错误,一不小心就会犯。因为有时候我们会惯性思维的......
  • linux的wc统计功能
    环境centos7.9介绍wc是一个在Linux中非常常用的命令,用于统计文件的行数、字符数和字节数。这个命令是"wordcount"的缩写,其功能就是计算指定文件中的字数、行数和字符数。常用例子计算文件的行数wc-lfilename计算文件的单词数。wc-wfilename计算文件的字符数......
  • 调整archlinux分区及ext4文件系统大小
    参照https://wiki.archlinuxcn.org/wiki/Parted1.防止数据丢失有重要数据的话先备份,防止系统崩了数据没了可以的话先在虚拟机练习一下2.注意点要扩展分区及其文件系统,(1)先扩展分区(2)再扩展文件系统要收缩分区及其文件系统,(1)先收缩文件系统(2)再收缩分区这样做是因......
  • linux虚拟机固定ip
    1、查看宿主机IP信息在windows宿主机上,键盘输入win+r,输出cmd,打开终端命令行:输入ipconfig/all,查看宿主机IP信息: 2、修改Linux虚拟机的配置文件Linux虚拟机上打开网络配置文件:cd/etc/sysconfig/network-scripts/viifcfg-ens33 修改配置文件,输入字母 i ,进入编辑模式,......
  • 西门子变频器常见故障原因
    故障信息发生故障时,变频器断电,并在显示屏上出现1个故障码。说明为使故障码复位,可以采用以下3种方法中的1种:1.使变频器断电、再重新通电。2.按BOP或AOP上的键。3.通过数字输入3(缺省设置)。故障信息按其故障码序号(例如,F0003=3)存储在参数r0947中。相......
  • Linux配置成代理服务器
    简介: 代理服务器(ProxyServer)是一种位于计算机网络中的中间服务器,它充当了客户端和目标服务器之间的中介,用于转发客户端请求并获取目标服务器的响应。代理服务器的主要功能包括以下几点:什么是代理服务器   代理服务器(ProxyServer)是一种位于计算机网络中的中间服务器,它充......
  • 记Linux跑ChatGLM2的坑及低显存解决办法
    记录一下踩过的坑…0.环境配置:全程国内网Ubuntu20.04withPython3.8andCUDA12.2RTX3060Laptop(6G)1.ChatGLM的下载:#clone仓库gitclonehttps://gitclone.com/github.com/THUDM/ChatGLM2-6BcdChatGLM2-6Bpip3install-rrequirements.txt#pip加速自行百......