iptables 预防DDOS 攻击分析和总结.docxVIP

iptables 预防 DDOS 攻击 1、iptables 扩展匹配2、iptables 脚本 3、TCP 三次握手剖析 4、TCP 四次断开剖析 5、DDOS（分布式拒绝服务）原理，及轻量级别攻击的防止 6、PAM 的原理 7、PAM 的使用 8、pam_mysql 与 vsftpd 的整合 1、iptables 扩展匹配 iptables(user space)/netfilter(kernel space) iptables 只是管理工具 netfilter 是具体的功能实现 netfilter 组 成 （ 表 ( 功 能 模 块 ) ／ 链 ／ 规 则 ） 3 张 表 ， 5 条 链 （INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING），8 个规则 filter（INPUT/OUTPUT/FORWARD） 过滤 nat(PREROUTING/POSTROUTING/OUTPUT) 地址转换 mangle(5 个链 ) 更封装层数据包结构 --PREROUTING--FORWARD--POSTROUTING-- INPUT | | OUTPUT 本机 规则的匹原则： 1、自上而下按顺序匹配 2、如果匹配到某条规则，执行这个规则动作，就不往后匹配其它规则 3、如果列表的所有的规则都匹配不到，则匹配默认规则 iptables [-t talbe] -A | -I | -D | -R | -E chian option(-s -d -i -o -p --dport -m) -j action(ACCEPT/DROP/REJECT/SNAT/DNAT. ) 应用层 传输层(tcp/udp/sport/doprt/ tcp6 个控制位匹配) 网络层(-s/-d/icmp) 数据链路层(mac) 物理层（-i/-o） 扩展匹配 1、通用匹配 -i -o -s -d 2、隐含匹配 tcp udp icmp sport dport 3、扩展匹配 -m mac | iprange | state -m +模块 以下是常用的模块： 模块可以通过：man 8 iptables ,通过关键字 “ -m ” 查找到所有的模块介绍 /lib/modules/2.6.18-194.el5/kernel/net/ipv4/netfilter/：存放模块的位置 -m connlimit：每个 IP 的并发连接数(TCP) --关注的是新发起的连接（NEW --syn） # iptables -m connlimit --help connlimit match options: [!] --connlimit-above n match if the number of existing connections is (not) above n --connlimit-mask n group hosts using mask # mount -o loop rhel55.iso /mnt # rpm -Uvh /mnt/Server/iptables-1.3.5-5.3.el5_4.1.i386.rpm # iptables -t filter -A INPUT -s 15 -p tcp --dport 22 -m connlimit --connlimit-above 1 -j DROP 一个以上就拒绝！！ # iptables -t filter -L -n -v --line -v 可以看状态 --line 数字显示 # iptables -t filter -A INPUT -s 15 -p tcp --dport 22 -m connlimit ! --connlimit-above 1 -j ACCEPT 一个以下就允许访问 -m icmp：ping 包请求与发送 [root@ ~]# iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT [root@ ~]# iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT [root@ ~]# iptables -A INPUT -p icmp -j DROP [root@ ~]# iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT == 0 相 当 于 echo-reply [root@ ~]# iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT == 8 相 当