iptables 預(yù)防DDOS 攻擊

1、iptables 預(yù)防 DDOS 攻擊1、iptables擴(kuò)展匹配2、iptables腳本3、TCP三次握手剖析4、TCP四次斷開剖析5、DDOS（分布式拒絕服務(wù)）原理，及輕量級別攻擊的防止6、PAM的原理7、PAM的使用8、pam_mysql與vsftpd的整合1、iptables擴(kuò)展匹配1) iptables(user space)/netfilter(kernel space) iptables只是管理工具 netfilter是具體的功能實現(xiàn)2)netfilter組成（表(功能模塊)鏈規(guī)則）3張表，5條鏈（INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTI

2、NG），8個規(guī)則filter（INPUT/OUTPUT/FORWARD）過濾nat(PREROUTING/POSTROUTING/OUTPUT)地址轉(zhuǎn)換mangle(5個鏈 )更封裝層數(shù)據(jù)包結(jié)構(gòu)->PREROUTING->FORWARD->POSTROUTING->INPUT | OUTPUT 本機(jī)規(guī)則的匹原則：1、自上而下按順序匹配2、如果匹配到某條規(guī)則，執(zhí)行這個規(guī)則動作，就不往后匹配其它規(guī)則3、如果列表的所有的規(guī)則都匹配不到，則匹配默認(rèn)規(guī)則iptables -t talbe -A | -I | -D | -R | -E chian option(-s -d -i -

3、o -p -dport -m) -j action(ACCEPT/DROP/REJECT/SNAT/DNAT.)應(yīng)用層傳輸層(tcp/udp/sport/doprt/ tcp6個控制位匹配)網(wǎng)絡(luò)層(-s/-d/icmp)數(shù)據(jù)鏈路層(mac)物理層（-i/-o）擴(kuò)展匹配 1、通用匹配-i -o -s -d2、隱含匹配tcp udp icmp sport dport3、擴(kuò)展匹配-m mac | iprange | state-m +模塊以下是常用的模塊：模塊可以通過：man 8 iptables ,通過關(guān)鍵字 “ -m ” 查找到所有的模塊介紹/lib/modules/2.6.18-194.el5

4、/kernel/net/ipv4/netfilter/：存放模塊的位置-m connlimit：每個IP的并發(fā)連接數(shù)(TCP)-關(guān)注的是新發(fā)起的連接（NEW -syn）# iptables -m connlimit -helpconnlimit match options:! -connlimit-above n match if the number of existing connections is (not) above n -connlimit-mask n group hosts using mask# mount -o loop rhel55.iso /mnt# rpm -Uvh

5、 /mnt/Server/iptables-1.3.5-5.3.el5_4.1.i386.rpm# iptables -t filter -A INPUT -s 15 -p tcp -dport 22 -m connlimit -connlimit-above 1 -j DROP 一個以上就拒絕！# iptables -t filter -L -n -v -line -v可以看狀態(tài) -line 數(shù)字顯示# iptables -t filter -A INPUT -s 15 -p tcp -dport 22 -m connlimit ! -connli

6、mit-above 1 -j ACCEPT 一個以下就允許訪問-m icmp：ping包請求與發(fā)送root # iptables -A INPUT -p icmp -m icmp -icmp-type echo-reply -j ACCEPTroot # iptables -A INPUT -p icmp -m icmp -icmp-type echo-request -j ACCEPTroot # iptables -A INPUT -p icmp -j DROProot # iptables -A OUTPUT -p icmp -m icmp -icmp-type 0 -j ACCEPT=

7、>0 相當(dāng)于 echo-replyroot # iptables -A INPUT -p icmp -m icmp -icmp-type 8 -j ACCEPT=>8 相當(dāng)于 echo-request刪除哪張表的哪條鏈：# iptables -t filter -D INPUT 2插入哪張表作為第幾條規(guī)則：# iptables -t filter -I INPUT 1 -s 82 -p tcp -dport 22 -m connlimit -connlimit-above 1 -j DROP-m iprange：IP范圍（一段連續(xù)的IP）! -src-rang

8、e ip-ip Match source IP in the specified range! -dst-range ip-ip Match destination IP in the specified range只是允許一個范圍內(nèi)的人可以ping我：# iptables -t filter -R INPUT 1 -p icmp -m icmp -m iprange -src-range 02-04 -j ACCEPTroot # iptables -t filter -A FORWARD -m iprange -src-range 192.168

9、.1.1-00 -j ACCEPTroot # iptables -t filter -A FORWARD -m iprange -dst-range 01-52 -j DROP-m limit：速率限制root # watch iptables -L INPUT -nv root # iptables -A INPUT -s 15 -p icmp -m icmp -icmp-type echo-request -m limit -limit 1/second -limit-burst 1 -j ACCEP

10、Troot # iptables -A INPUT -s 15 -p icmp -m icmp -icmp-type echo-request -j DROP-m mac：匹配源地址的 MAC 地址（mac源地址是固定的）# iptables -m mac -helpmac match options:! -mac-source XX:XX:XX:XX:XX:XXMatch source MAC addressroot # iptables -A INPUT -m mac -mac 00:0C:29:58:01:9A -p icmp -j DROP-m multiport

11、：多端口root html# iptables -A INPUT -s /24 -p tcp -m multiport -dport 22:25,25,110,80,53,21 -j DROP-m state(NEW/ESTABLISHED/RELATED/INVALID)：NEW-第一個數(shù)包，跟TCP狀態(tài)無關(guān)，第一個發(fā)過來的ESTABLISHED -第二個數(shù)據(jù)包，第二個回復(fù)的包，后面繼續(xù)發(fā)的包也是這樣個狀態(tài)RELATED-已經(jīng)發(fā)生關(guān)系的數(shù)據(jù)（FTP）INVALID-無效數(shù)據(jù)包個人簡單的防火墻（狀態(tài)）：ESTABLISHED不允許其他主機(jī)發(fā)起的主動訪問，只允許本地主機(jī)主動

12、發(fā)起的功能訪問以及l(fā)o通訊如果是遠(yuǎn)程上來的，必須先允許ssh，不然會死得很難看。# iptables -t filter -A INPUT -p tcp -dport 22 -j ACCEPTrootstu110 # iptables -P INPUT DROProotstu110 # iptables -A INPUT -i lo -j ACCEPT -允許本機(jī)內(nèi)的通信和操作rootstu110 # iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPTrootstu110 # iptables -A INPUT -p

13、icmp -m state -state NEW -m limit -limit 1/second -limit-burst 3 -j ACCEPTrootstu110 # iptables -t filter -A OUTPUT -m state -state ESTABLISHED,RELATED -j ACCEPTRELATED：已發(fā)生關(guān)系的（1）vsftpd數(shù)據(jù)傳輸（考慮模式，默認(rèn)是主動模式）主動模式：21控制端口20數(shù)據(jù)端口被動模式：21控制端口1024+數(shù)據(jù)端口rootmail # ismod /lib/modules/2.6.18-164.el5xen/kernel/net/ip

14、v4/netfilter/ip_conntrack_ftp.ko 需要模塊的支持，內(nèi)核才能支持 RELATED狀態(tài)rootmail # iptables -t filter -A INPUT -p tcp -dport 21 -j ACCEPTrootmail # iptables -t filter -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT被動模式/主動：# service vsftpd start# iptables -A INPUT -p tcp -m multiport -dport 21 -j ACCEPT# ipt

15、ables -A OUTPUT -m state -state ESTABLISHED,RELATED -j ACCEPT# iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT# modprobe -l | grep ftp kernel/net/netfilter/nf_conntrack_ftp.ko# modproble nf_conntrack_ftp -加載FTP狀態(tài)自動跟蹤模塊，它可以完成自動切換端口-m string：字符串內(nèi)容進(jìn)行匹配（局限大，效率低，不太用）root # iptables -A INP

16、UT -s -p tcp -dport 22 -m string -algo bm -string "sex" -j DROP-m time：時間限制root linux# insmod /lib/modules/$(uname -r)/kernel/net/ipv4/netfilter/ipt_time.koroot linux# iptables -t filter -A INPUT -s .0/24 -m time -timestart 9:00 -timestop 17:00 -days Mon,Tue,Wed,Thu,

17、Fri -j ACCEPTroot linux# iptables -t filter -A INPUT -s .0/24 -p tcp -dport 80 -j DROP2、iptables腳本#!/bin/bash#先定義一些變量#lan=eth0wan=eth1lan_ip=0wan_ip=0TCP_PORT="20:22,80"UDP_PORT="53,67"IPTABLES=/sbin/iptablesmod=/sbin/modprobe/sbin/depmod -a$mod i

18、p_conntrack_ftpstart() #ALLOW#$IPTABLES -N allowed -自定義鏈$IPTABLES -A allowed -p TCP -syn -j ACCEPT -所有tcp第一次握手都可以通過$IPTABLES -A allowed -p TCP -m state -state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP#BAD_TCP#$IPTABLES -N bad_tcp_packets$IPTABLES -A bad_tcp_packets -p tcp -tc

19、p-flags SYN,ACK SYN,ACK -m state -state NEW -j REJECT -reject-with tcp-reset -SYN,ACK SYN,ACK syn和ack都為1 假的包$IPTABLES -A bad_tcp_packets -p tcp ! -syn -m state -state NEW -j LOG -log-prefix "New not syn:" -記錄性的東西，就算匹配了，所以還是會繼續(xù)往下面匹配$IPTABLES -A bad_tcp_packets -p tcp ! -syn -m state -state

20、NEW -j DROP#TCP RULES#$IPTABLES -N tcp_packets $IPTABLES -A tcp_packets -p tcp -syn -dport 80 -m limit -limit 10/s -limit-burst 10 -m connlimit -connlimit-above 10 -j DROP$IPTABLES -A tcp_packets -p tcp -syn -dport 22 -m connlimit -connlimit-above 3 -j REJECT$IPTABLES -A tcp_packets -p tcp -m multip

21、ort -dport $TCP_PORT -j ACCEPT$IPTABLES -A tcp_packets -m state -state ESTABLISHED,RELATED -j ACCEPT$IPTABLES -A tcp_packets -p TCP -j DROP#UDP RULES#$IPTABLES -N udp_packets $IPTABLES -A udp_packets -p udp -m multiport -dport $UDP_PORT -j ACCEPT#ICMP RULES#$IPTABLES -N icmp_packets $IPTABLES -A icm

22、p_packets -p icmp -m limit -limit 1/s -limit-burst 1 -s 0/0 -icmp-type 8 -j ACCEPT$IPTABLES -A icmp_packets -p IcmP -m limit -limit 1/s -limit-burst 1 -s 0/0 -icmp-type 0 -j ACCEPT#DENY ALL$IPTABLES -P INPUT DROP$IPTABLES -P OUTPUT DROP$IPTABLES -P FORWARD DROP#INPUT$IPTABLES -A INPUT -p tcp -j bad_

23、tcp_packets$IPTABLES -A INPUT -i lo -j ACCEPT$IPTABLES -A INPUT -s /24 -j ACCEPT$IPTABLES -A INPUT -p tcp -j tcp_packets$IPTABLES -A INPUT -p udp -j udp_packets$IPTABLES -A INPUT -p icmp -j icmp_packets#OUTPUT$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets$IPTABLES -A OUTPUT -o lo -j ACCEPT

24、$IPTABLES -A OUTPUT -p tcp -j allowed$IPTABLES -A OUTPUT -p icmp -j icmp_packets$IPTABLES -A OUTPUT -j ACCEPT#FORWARD$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets$IPTABLES -A FORWARD -p tcp -j allowed$IPTABLES -A FORWARD -p udp -j ACCEPT$IPTABLES -A FORWARD -p icmp -j icmp_packets#table: NAT#SNAT#$

25、IPTABLES -t nat -A POSTROUTING -s /24 -o $wan -j SNAT -to $wan_ip#DNAT#$IPTABLES -t nat -A PREROUTING -i $wan -d $wan_ip -p tcp -dport 80 -j DNAT -to :80stop() $IPTABLES -P INPUT ACCEPT$IPTABLES -P OUTPUT ACCEPT$IPTABLES -P FORWARD ACCEPT#FILTER$IPTABLES -F$IPTABLES -Z$IPTABLES

26、 -X#NAT$IPTABLES -t nat -F$IPTABLES -t nat -Z$IPTABLES -t nat -X#MANGLE$IPTABLES -t mangle -F$IPTABLES -t mangle -Z$IPTABLES -t mangle -Xrestart() stop startcase "$1" in start) start ; stop) stop ; restart) restart ; *) echo $"Usage: $0 start|stop|restart" exit 2esacexit $?3、TCP三

27、次握手剖析SYN-RECVD 拒絕服務(wù)出現(xiàn)的征兆TCP連接已建立，進(jìn)入數(shù)據(jù)傳輸4、TCP四次斷開剖析5、DDOS原理，及輕量級別攻擊的防止# sysctl -a -查看以下的內(nèi)核參數(shù)# vim /etc/sysctl.confnet.ipv4.tcp_max_syn_backlog = 8096-超過最大連接數(shù)后產(chǎn)生新syn隊列的長度net.ipv4.tcp_synack_retries = 2-syn確認(rèn)的重試次數(shù)net.ipv4.ip_local_port_range = 1024 65535-表示用于向外連接的端口范圍。缺省情況下很小：32768到61000，改為1024到65000。n

28、et.ipv4.tcp_syncookies = 1 -表示開啟SYN Cookies。當(dāng)出現(xiàn)SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認(rèn)為0，表示關(guān)閉；net.ipv4.tcp_tw_reuse = 1 -表示開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接，默認(rèn)為0，表示關(guān)閉；net.ipv4.tcp_tw_recycle = 1 -表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認(rèn)為0，表示關(guān)閉。net.ipv4.tcp_max_tw_buckets = 5000-表示系統(tǒng)同時保持TIME_WAIT套接字的最大數(shù)量

29、，如果超過這個數(shù)字,TIME_WAIT套接字將立刻被清除并打印警告信息。默認(rèn)為180000，改為5000。# sysctl -p 重新加載配置文件，配置立即生效1、通過iptables防止輕量級別的DDOS-m limit-m connlimit2、DDOS的原理，三次握手（客戶端第三次不回應(yīng)服務(wù)端）3、通過內(nèi)核增大TCP緩沖區(qū)，支持更多的連接。4、增加更強(qiáng)大的硬件防火墻，用于丟棄（過濾）掉不正常syn請求,搭建負(fù)載均衡集群，另外保證你的外網(wǎng)有足夠大的帶寬6、PAM的原理驗證分類：1、本地驗證2、網(wǎng)絡(luò)驗證loginsshdsambavsftpdsusudopostfixssh_client-&

30、gt;username/password->sshd->pam_lib->pam->/etc/pam.d/sshd(/lib64/security/pam_xxxxxx.so)->/etc/passwd | /etc/shadoweg:# ldd /usr/sbin/sshd ldd -查看動態(tài)庫libpam.so.0 => /lib64/libpam.so.0 (0x00007fbe526d0000)有這個模塊的就是調(diào)用了驗證模塊所謂的三欄、四欄cat /etc/pam.d/xxx三欄：模塊類型：模塊處理方式：模塊種類模塊類型man 8 pam有哪些模塊：

31、# ls /lib64/security/幫助文檔的查找：# rpm -ql pam | grep pam_nologin/lib64/security/pam_nologin.so/usr/share/doc/pam-1.1.1/html/sag-pam_nologin.html 網(wǎng)頁版的最全/usr/share/doc/pam-1.1.1/txts/README.pam_nologin/usr/share/man/man8/pam_nologin.8.gz總結(jié)：.so 模塊可以被多種需要驗證的服務(wù)所調(diào)用。如果想不同的服務(wù)產(chǎn)生相同的限制的話，那么需要在（ls /etc/pam.d/ ）這些服

32、務(wù)的驗證模塊的配置文件中加入模塊的調(diào)用。然后修改相應(yīng)的配置文件7、PAM的使用例子1：禁止所有普通帳號登錄操作系統(tǒng)，root只能在tty1登錄禁止所有的普通用戶從本地(/etc/pam.d/login)或者遠(yuǎn)程SSH(/etc/pam.d/sshd)登錄系統(tǒng)（系統(tǒng)維護(hù)的時候）本地登錄配置：# vim /etc/pam.d/login account required pam_nologin.so <-禁止所有普通帳號登錄使用到的模塊# touch /etc/nologin -查看幫助文檔可知，只要存在這個文件，那么 pam_nologin.so 就生效nologin：也可以在這個文件中加

33、入一些注釋，普通用戶登錄失敗時會拋出這樣的注釋。禁止使用遠(yuǎn)程ssh登錄：# vim /etc/pam.d/sshdaccount required pam_nologin.so# touch /etc/nologinroot只能在tty1登錄# vim /etc/pam.d/loginauth user_unknown=ignore success=ok ignore=ignore default=bad pam_securetty.so# vim /etc/securetty -/etc/securetty 查看幫助文檔，可以知道已經(jīng)把這個文件的路徑寫死了tty1-只保留tty1# grep

34、 -H nologin /etc/pam.d/*查看默認(rèn)情況下nologin模塊被哪些服務(wù)支持ekshell:auth required pam_nologin.sogdm:account required pam_nologin.sogdm-autologin:account required pam_nologin.sogssftp:account required pam_nologin.sokshell:auth required pam_nologin.sologin:account required pam_nologin.soppp:account required pam_no

35、login.soremote:account required pam_nologin.sosamba:auth required pam_nologin.sosshd:account required pam_nologin.so嘗試使用nologin模塊拒絕服務(wù)登錄（只能拒絕本地用戶，匿名用戶不可以）例子2：限制登錄時間（支持：* ! & |）# vim /etc/pam.d/login （本地登錄）account required pam_time.soaccount include system-authvim /etc/security/time.confsshd | log

36、in;*;tom | root;Al1400-1630 -如果tom通過login登錄系統(tǒng)，不管在哪個終端，都可以在14:00-16:30登錄login;tty1;bean;!Al1400-1630 -bean在tty1，14：0016：30不允許登錄# vim /etc/pam.d/sshd （ssh登錄）account required pam_time.so# vim /etc/security/time.conf sshd | login;*;u01;Wd9000-1700Mo星期一TuWeThFrSaSu星期天Wk周六，周日Wd周一到周五Al所有例子3：pam_access認(rèn)證控制文

37、件中添加的配置記錄用于啟用該認(rèn)證模塊；access.conf文件中可以對各用戶設(shè)置登錄訪問控制策略權(quán)限使用“+”或者“-”，分別表示允許、拒絕；用戶部分可以使用用戶名或者”組名“；來源可以是終端名、網(wǎng)絡(luò)地址、IP地址等# vim /etc/pam.d/login-針對本地終端的登錄auth required pam_access.so# vim /etc/pam.d/sshdauth required pam_access.so針對網(wǎng)絡(luò)ssh的登錄 vim /etc/security/access.conf.+ : root : tty1+ : kk01 : 2+ : w

38、ww01 www02 group : 192.168.0. EXCEPT LOCAL- : ALL : ALL限定普通用戶可以在/24登錄，而管理員只能指定主機(jī)54上登錄# vim /etc/pam.d/sshd auth required pam_access.so-寫在第一行# vim /etc/security/access.conf + : root : 54 root只可以在54上登錄- : root : ALL root在其他上都不可以登錄+ : ALL : /24 所有的

39、用戶（自上而下匹配規(guī)則，排除root）都可以在0網(wǎng)段上遠(yuǎn)程登錄- : ALL : ALL 所有用戶都不可以在任何設(shè)備上登錄軟件（二進(jìn)制）libpampam->/etc/pam.d/軟件名字8、pam_mysql與vsftpd的整合client -> vsftpdclient->pam（vsftpd.mysql）->mysql-server->ftp_server-clientvsftpd 中聲明使用vsftpd.mysql 這個模塊，然后client就會去找pam.d 中的vsftpd.mysql 這個驗證配置文件pam（vsftpd.mysql）：有mysql-

40、sever 中的 一個可以對用戶密碼表，數(shù)據(jù)庫有所有權(quán)限的的賬號mysql-server：mysql-server有幾個賬號和相對應(yīng)的密碼，拿著這些就可以登錄ftp安裝mysql(不要使用紅帽的RPM版的mysql)# wget 54/notes/softwares/mysql/mysql/mysql-5.1.58-linux-i686-glibc23.tar.gz# tar xf mysql-5.1.58-linux-i686-glibc23.tar.gz -C /opt# ln -s /opt/mysql-5.1.58-linux-i686-glibc23/

41、 /opt/mysql# useradd mysql -s /sbin/nologin# cd /opt/mysql# chown mysql.mysql -R .# ./scripts/mysql_install_db -user=mysql# chown root . -R# chown mysql data/ -R# ./bin/mysqld_safe -user=mysql &安裝redhat的mysqlyum -y install mysql-server安裝vsftpd# yum -y install vsftpd安裝pam_mysql下載軟件：# wget # wget

42、54/notes/softwares/ULA/'pam vsftpd_pam+mysql nessus'/pam_mysql-0.7RC1.tar.gz# tar xzvf pam_mysql-0.7RC1.tar.gz -C /usr/local/src/# cd /usr/local/src/pam_mysql-0.7RC1/# ./configure -with-mysql=/opt/mysql/ && make && make install# ./configure configure: error: C

43、annot find pam headers. Please check if your system is ready for pam module development.還有開發(fā)工具需要安裝：# yum -y install mysql-devel pam-devel# ./configure # make # make install# mv /lib/security/pam_mysql.so /lib64/security/# mv /lib/security/pam_mysql.la /lib64/security/-/bin/sh ./mkinstalldirs /usr/li

44、b/security/bin/sh ./libtool -mode=install /usr/bin/install -c pam_mysql.la /usr/lib/security/pam_mysql.la/usr/bin/install -c .libs/pam_mysql.so /usr/lib/security/pam_mysql.so/usr/bin/install -c .libs/pam_mysql.lai /usr/lib/security/pam_mysql.laPATH="$PATH:/sbin" ldconfig -n /usr/lib/securi

45、ty-配置vsftpd服務(wù)器# vim /etc/vsftpd/vsftpd.confanonymous_enable=NO -不允許匿名登錄local_enable=YES -允許本地登錄write_enable=YES anon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOanon_world_readable_only=YESchroot_local_user=YESguest_enable=YESguest_username=vuserpam_service_name=/etc/pam.d/vs

46、ftpd.mysqllisten=YESlisten_port=21pasv_min_port=3000pasv_max_port=4000xferlog_enable=YESconnect_from_port_20=YESrootproxy pam_mysql-0.7RC1# less README -查看幫助手冊# vim /etc/pam.d/vsftpd.mysqlauth required pam_mysql.so user=ftp passwd=123456 host=localhost db=vsftpd table=users usercolumn=username passw

47、dcolumn=password crypt=2 debug=1account required pam_mysql.so user=ftp passwd=123456 host=localhost db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=2 debug=1#vim /etc/pam.d/vsftpd.mysqlauth required /usr/lib/security/pam_mysql.so user=ftp passwd=123456 host=localhost db=vsftpd

48、table=users usercolumn=username passwdcolumn=password crypt=2account required /usr/lib/security/pam_mysql.so user=ftp passwd=123456 host=localhost db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=2添加一個系統(tǒng)賬號，并指定家目錄。# useradd vuser -d /ftpdata -s /sbin/nologin# chmod 755 /ftpdata/配置mysql:# service mysqld startmysql> create database vsftpd;Query OK, 1 row affected (0.00 sec)mysql> create table vsftpd.users(id int auto_increment primary key, username char(30), password char(50);Query OK, 0 rows affected (0.01 sec) | mysql> use vsftpdmysql> ins