Linux Iptables 编写新规则以限制 DoS 攻击

Linux Iptables 编写新规则以限制 DoS 攻击

最近,我经历了一次 DoS 攻击,所以我决定编写一条新规则来阻止攻击,但我的知识不足以做到这一点,

所以任何提示或帮助都会很感激

攻击日志附件如下,同时附上我当前的表格

我的规则:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# Allow LoopBack
-A INPUT -i lo -j ACCEPT

# Allow New Connection Only On Ports ( 22 - 3724 - 3799 ) And Maximum Connection Limited At 15
-A INPUT -i eth0 -p tcp -m multiport --dports 22,3724,3799 -m state --state NEW,ESTABLISHED -m connlimit --connlimit-upto 15 --connlimit-mask 32 --connlimit-saddr -j ACCEPT

# Allow Ping ( Only 2x Ping Per a Sec )
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 2 -j ACCEPT

# Allow LoopBack
-A OUTPUT -o lo -j ACCEPT

# Allow Established Connection
-A OUTPUT -o eth0 -p tcp -m multiport --sports 22,3724,3799 -m state --state ESTABLISHED -j ACCEPT

# Allow Ping ( Only 2x Ping Per a Sec )
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 0 -m limit --limit 2/sec --limit-burst 2 -j ACCEPT
COMMIT

攻击日志:http://paste.ubuntu.com/12019024/

如果我的规则需要重写/编辑请告诉我

谢谢

答案1

根据您的日志,SYN 数据包源自您的环回接口,并且您的 eth0 正在发送 SYN ACK 以响应大量随机公共 IP。正如 @Oliver 在上面的评论中指出的那样,您的服务器可能已受到攻击。我会将服务器从网络上移除,并研究如何修复受攻击的服务器。

http://www.ducea.com/2006/07/17/how-to-restore-a-hacked-linux-server

我如何知道我的 Linux 服务器是否已被黑客入侵?

https://major.io/2011/03/09/strategies-for-detecting-a-compromised-linux-server/

相关内容