请各位安全防线的朋友帮帮忙指点？

xqf · 发表于 2004-10-28 19:27:43

请问各位朋友，对了debian 下对flood 端口拒绝服务。该如何解决。。
该打哪些补丁。能否指点一二啊。

linky_fan · 发表于 2004-10-28 22:12:12

syn flood?

xqf · 发表于 2004-10-29 22:03:11

syn flood
是的。就是这个。请问在DEBINA如何防止啊。。因为我开了80端口。。每次都有人攻击我的网站。。该如何解决。难道LINUX就这样啊。

linky_fan · 发表于 2004-10-30 12:26:26

下面有一些有用的IPTABLE语法，可以挡住一些基本攻击，若是大家觉得有改进的地方，欢迎提出 :-)

#PREVENT PORT SCAN
# NMAP FIN/URG/PSH
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-level warn
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

# Xmas Tree
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j LOG --log-level warn
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

# Another Xmas Tree
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-level warn
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# Null Scan(possibly)
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j LOG --log-level warn
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

# SYN/RST
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-level warn
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

# SYN/FIN -- Scan(possibly)
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-level warn
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

#PREVENT SYNC FLOOD
/sbin/iptables -N SYNFLOOD
/sbin/iptables -A SYNFLOOD -p tcp --syn -m limit --limit 1/s -j RETURN
/sbin/iptables -A SYNFLOOD -p tcp -j LOG --log-level alert
/sbin/iptables -A SYNFLOOD -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp -m state --state NEW -j SYNFLOOD

#PREVENT PING FLOOD ATTACK
/sbin/iptables -N PING
/sbin/iptables -A PING -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN
/sbin/iptables -A PING -p icmp -j LOG --log-level alert
/sbin/iptables -A PING -p icmp -j REJECT
/sbin/iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j PING

woody 版本可以用 iptables 设定 rules，然后运行

/etc/init.d/iptables save active

如此一来，每次重启就会自动调入目前的 iptables 设定。

也可以編辑 /etc/default/iptables，把其中的 enable_autosave，设为true。

enable_autosave=true

sid 建议配合 ifupdown 使用。
这篇帖子希望发到服务器那个区去，得到的答案多一些。

xqf · 发表于 2004-11-1 11:28:53

谢谢。。

		自动登录	找回密码
密码			注册