iptables -A INPUT -p icmp --icmp-typeecho-request -m limit --limit 1/s–limit-burst 10 -j ACCEPT
这是为了防止ping洪水攻击,限制每秒的ping包不超过10个。
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec--limit-burst 200 -j ACCEPT
上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了。
iptables防火墙运行后,我们可以运行nmap工具进行扫描,命令如下:
nmap -P0 -sS 211.143.6.x
此命令的执行结果如下:
Starting Nmap 4.11 ( ) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT STATE SERVICE
22/tcpopenssh
25/tcpopensmtp
80/tcpopenhttp
110/tcpopenpop3
111/tcpopenrpcbind
143/tcpopenimap
443/tcpopenhttps
465/tcpopensmtps
587/tcpopensubmission
993/tcpopenimaps
995/tcpopenpop3s
1014/tcpopenunknown
在这里,我们发现一个1014端被某个进程打开了,用lsof -i:1014查看发现又是rpc.statd打开的,这服务每次用的端口都不一样啊!本来想置之不理的,但是如果rpc.statd不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击,所以还是得想办法解决掉,我们发现rpc.statd是由服务nfslock开启的,进一步查询得知它是一个可选的进程,它允许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务,于是我们关掉了此服务,命令如下所示:
service nfslock stop
chkconfig nfslock off
没有硬件防火墙保护的话,置于IDC机房并且有公网的Web服务器还是很有用iptables保护的必要,如果发现有人用工具恶意频繁连接我们的Web服务器,我们可以调用recent模块来阻止它们。
-A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT 防止DDOS的SYN
推荐阅读: