最近,我经历了一次 DoS 攻击,所以我决定编写一条新规则来阻止攻击,但我的知识不足以做到这一点,
所以任何提示或帮助都会很感激
攻击日志附件如下,同时附上我当前的表格
我的规则:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# Allow LoopBack
-A INPUT -i lo -j ACCEPT
# Allow New Connection Only On Ports ( 22 - 3724 - 3799 ) And Maximum Connection Limited At 15
-A INPUT -i eth0 -p tcp -m multiport --dports 22,3724,3799 -m state --state NEW,ESTABLISHED -m connlimit --connlimit-upto 15 --connlimit-mask 32 --connlimit-saddr -j ACCEPT
# Allow Ping ( Only 2x Ping Per a Sec )
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 2 -j ACCEPT
# Allow LoopBack
-A OUTPUT -o lo -j ACCEPT
# Allow Established Connection
-A OUTPUT -o eth0 -p tcp -m multiport --sports 22,3724,3799 -m state --state ESTABLISHED -j ACCEPT
# Allow Ping ( Only 2x Ping Per a Sec )
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 0 -m limit --limit 2/sec --limit-burst 2 -j ACCEPT
COMMIT
攻击日志:http://paste.ubuntu.com/12019024/
如果我的规则需要重写/编辑请告诉我
谢谢
答案1
根据您的日志,SYN 数据包源自您的环回接口,并且您的 eth0 正在发送 SYN ACK 以响应大量随机公共 IP。正如 @Oliver 在上面的评论中指出的那样,您的服务器可能已受到攻击。我会将服务器从网络上移除,并研究如何修复受攻击的服务器。
http://www.ducea.com/2006/07/17/how-to-restore-a-hacked-linux-server
https://major.io/2011/03/09/strategies-for-detecting-a-compromised-linux-server/