Linux系統防火牆防止DOS和DDOS攻擊

<a href="http://www.xgdown.com/article/53/141832_1.htm">http://www.xgdown.com/article/53/141832_1.htm</a>

Linux系統防火牆防止DOS和DDOS攻擊(1)

    虛拟主機服務商在營運過程中可能會受到黑客攻擊，常見的攻擊方式有SYN ，DDOS等。通過更換IP，查找被攻擊的站點可能避開攻擊，但是中斷服務的時間比較長。比較徹底的解決方法是添置硬體防火牆。不過，硬體防火牆價格比較昂貴。可以考慮利用Linux 系統本身提供的防火牆功能來防禦。?

    1. 抵禦SYN

    SYN攻擊是利用TCP/IP協定3次握手的原理，發送大量的建立連接配接的網絡包，但不實際建立連接配接，最終導緻被攻擊伺服器的網絡隊列被占滿，無法被正常使用者通路。

    Linux核心提供了若幹SYN相關的配置，用指令：

    sysctl -a | grep syn

    看到：

    net.ipv4.tcp_max_syn_backlog = 1024

    net.ipv4.tcp_syncookies = 0

    net.ipv4.tcp_synack_retries = 5

    net.ipv4.tcp_syn_retries = 5

    tcp_max_syn_backlog是SYN隊列的長度，tcp_syncookies是一個開關，是否打開SYN Cookie功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數。

    加大SYN隊列長度可以容納更多等待連接配接的網絡連接配接數，打開SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數也有一定效果。

    調整上述設定的方法是：

    增加SYN隊列長度到2048：

    sysctl -w net.ipv4.tcp_max_syn_backlog=2048

    打開SYN COOKIE功能：

    sysctl -w net.ipv4.tcp_syncookies=1

    降低重試次數：

    sysctl -w net.ipv4.tcp_synack_retries=3

    sysctl -w net.ipv4.tcp_syn_retries=3

    為了系統重新開機動時保持上述配置，可将上述指令加入到/etc/rc.d/rc.local檔案中。

    2. 抵禦DDOS

    DDOS，分布式拒絕通路攻擊，是指黑客組織來自不同來源的許多主機，向常見的端口，如80，25等發送大量連接配接，但這些用戶端隻建立連接配接，不是正常通路。由于一般Apache配置的接受連接配接數有限（通常為256），這些“假” 通路會把Apache占滿，正常通路無法進行。

    Linux提供了叫ipchains的防火牆工具，可以屏蔽來自特定IP或IP位址段的對特定端口的連接配接。使用ipchains抵禦DDOS，就是首先通過netstat指令發現攻擊來源位址，然後用ipchains指令阻斷攻擊。發現一個阻斷一個。

    *** 打開ipchains功能

    首先檢視ipchains服務是否設為自動啟動：

    chkconfig --list ipchains

    輸出一般為：

    ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off

    如果345列為on，說明ipchains服務已經設為自動啟動

    如果沒有，可以用指令：

    chkconfig --add ipchains

    将ipchains服務設為自動啟動

    其次，察看ipchains配置檔案/etc/sysconfig/ipchains是否存在。如果這一檔案不存在，ipchains

    即使設為自動啟動，也不會生效。預設的ipchains配置檔案内容如下：

    # Firewall configuration written by lokkit